splunk syslogs Forwarder configurado não funciona e pausa o fluxo de dados

Eu configurei o Universal Forwarder localmente em minha máquina usando este guia

https://splunk.paloaltonetworks.com/universal-forwarder.html

/opt/splunkforwarder/etc/system/local/inputs.conf

[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0

/opt/splunkforwarder/etc/system/local/outputs.conf

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]

(o ip local se torna 'xxx-xps-15-7590' igual à interface da web)

Eu verifiquei se o syslog realmente envia eventos de logs para o arquivo /var/log/udp514.log, então tenho certeza de que os logs estão lá. A porta 9997 foi permitida na UI do splunk (configurações de encaminhamento e recebimento).

Porém, quando faço uma pesquisa: source="/var/log/udp514.log" nada aparece.

O splunk também lança uma mensagem:

'O processador de saída TCP pausou o fluxo de dados. O encaminhamento para host_dest=xxx-xps-15-7590 dentro do grupo de saída default-autolb-group de host_src=xxx-XPS-15-7590 foi bloqueado por block_seconds=10. Isso pode interromper o fluxo de dados em direção à indexação e outras saídas de rede. Revise a integridade do sistema receptor no Console de monitoramento do Splunk. Provavelmente não está aceitando dados.'

Entendo que os dados foram encaminhados de host_src, mas o não indexador, por algum motivo, não os ingere e é bloqueado?

Alguma ideia de onde está o problema?