Universal forwarder（以下UF）からのログのインデックスやソースタイプの指定はUF側で行います。Splunkサーバ側で設定するケースはサーバに送られてきたログのソースタイプ等を更に分類するような特殊なケースになります。

以下、設定ファイルのサンプルです。設定する場所はUFの(splunk_dir)/etc/system/localになります。ファイルが存在しない場合は追加して下さい。

inputs.conf
[monitor:///data/output_log/NW/_buffer/firewall_syslog/firewall_syslog.log]
disabled = false
index = firewall
sourcetype = FW_Traffic

コードがUTF-8以外の場合はコード変換が必要になります。props.confにソースタイプを設定します。

props.conf
[FW_Traffic]
CHARSET = SHIFT-JIS ※ログがSJISの場合