コメントありがとうございます！
9997番ポートです。
Universal Forwarderからのログも同じポートで受けるようにしているのですが、
まずいでしょうか？

あ〜、多分Splunk-Splunk（ユニバーサルフォワーダとインデクサ間）通信で設定している受信ポートが9997ってことですね？
Blue Coat用のポートは、別途プロトコルに合わせてTCPかUDPの入力をしたポートに向けて頂く必要がありますので、以下のドキュメント参照いただいて、ネットワークでデータ入力をする設定をしていただければと思います。

http://docs.splunk.com/Documentation/Splunk/6.2.1/Data/Monitornetworkports#Add_a_network_input_using...

別のポートを指定したところ、ログを受信することができました。
大変助かりました。ありがとうございました！