Bem, o problema foi resolvido usando IP local, em vez de um domínio 'localhost', de modo que a linha para encaminhamento do syslog para o Splunk (conexão TCP) se parece com
*.* @@127.0.0.1
como está no mesmo servidor que o rsyslog. O Splunk está configurado para ouvir o conjunto de dados da porta TCP 514 como syslog.