Die Einrichtung des Splunk-Syslog-Forwarders funktioniert nicht und der Datenfluss wurde angehalten

Ich habe den Universal Forwarder lokal auf meinem Computer mit dieser Anleitung eingerichtet

https://splunk.paloaltonetworks.com/universal-forwarder.html

/opt/splunkforwarder/etc/system/local/inputs.conf

[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0

/opt/splunkforwarder/etc/system/local/outputs.conf

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]

(die lokale IP wird „xxx-xps-15-7590“, dasselbe gilt für die Web-Benutzeroberfläche)

Ich habe überprüft, dass Syslog tatsächlich Protokollereignisse in die Datei /var/log/udp514.log sendet, daher bin ich sicher, dass die Protokolle dort vorhanden sind. Port 9997 wurde auf der Splunk-Benutzeroberfläche zugelassen (Weiterleitungs- und Empfangseinstellungen).

Wenn ich jedoch eine Suche durchführe: source="/var/log/udp514.log", wird nichts angezeigt.

Außerdem gibt Splunk eine Meldung aus:

„Der TCP-Ausgabeprozessor hat den Datenfluss angehalten. Die Weiterleitung an host_dest=xxx-xps-15-7590 innerhalb der Ausgabegruppe default-autolb-group von host_src=xxx-XPS-15-7590 wurde für blocked_seconds=10 blockiert. Dies kann den Datenfluss zur Indizierung und zu anderen Netzwerkausgaben verzögern. Überprüfen Sie den Zustand des empfangenden Systems in der Splunk-Überwachungskonsole. Es akzeptiert wahrscheinlich keine Daten.“

Ich verstehe, dass Daten von host_src weitergeleitet wurden, aber der Nicht-Indexer nimmt sie aus irgendeinem Grund nicht auf, sodass sie blockiert werden?

Irgendeine Idee, wo das Problem liegt?