Não tenho visto muito valor na estruturação de logs de eventos encaminhados personalizados do coletor para corresponder às assinaturas. Esse tipo de configuração e ligação customizada exigiria manutenção e seria uma dor de cabeça.
Os logs de eventos encaminhados destinam-se a áreas de preparação temporárias, onde os eventos são processados por automação após a coleta para salvar em um banco de dados e / ou alarmes / notificações. Eles também podem ser enormes - 10 GB, sem impacto no desempenho do processamento , porque são logs binários circulares. A única exceção para o desempenho é o visualizador gráfico de eventos, mas os logs encaminhados não são destinados ao uso do visualizador gráfico de eventos.
Código personalizado Get-WindowsEvent ou .NET do PowerShell para extrair rapidamente os eventos necessários para um arquivo CSV ou XML, com base na filtragem por data / hora e critérios de evento, usando filtros de consulta XML de evento.
Eu não vi nenhuma orientação prescritiva sobre o número de assinantes por colecionador, provavelmente porque depende do volume. Mas tenho um coletor e o log de eventos encaminhados padrão com mais assinantes do que o cenário que você descreve, que coleta milhões de eventos por dia e não está próximo da capacidade.
Quando uma separação de interesses é realmente necessária, recomendo que você colecione um coletor separado. Servidores virtuais e armazenamento são baratos.