まず、UF側のsplunkd.logには以下のようなメッセージがあるかを確認してみてください。

INFO ThruputProcessor - Current data throughput (256 kb/s) has reached maxKBps. As a result, data forwarding may be throttled. Consider increasing the value of maxKBps in limits.conf.

ある場合、UF側のlimits.confのmaxKBpsをデフォルトの256から無制限の0に変更してください。

[thruput] 
maxKBps = 0

そして、UF側のmetrics.logでeps (event per second) の内容を確認してみてください。以下のようにwineventlog:securityのepsが300以上 (つまり、300 event per secondでUFからeventlogをindexer側に送っている)の場合、

INFO Metrics-group=per_sourcetype_thruput, series="wineventlog:security", kbps=243, eps=353, kb=7538, ev=10912, avg_age=120, max_age=127

UFのparsingqueueがいっぱいにならないまでに、parsingQueueのサイズをserver.confで徐々に増やしてみてください。

[queue=parsingQueue] 
maxSize = 10MB