Hiába van megfelelően konfigurált Splunk Forwared-ünk. Hiába van beállítva, hogy mely logokat gyűjtsön, és mit hogyan továbbítson az Indexer felé, ha a service account nincs megfelelően beállíva, akkor nem tud logokat küldeni az Indexer felé a Forwarder.
Részletek:
https://community.splunk.com/t5/Getting-Data-In/Sysmon-events-not-getting-indexed/m-p/655609#M111072