Splunk переопределяет тип источника HEC, сопоставляя все события с одним преобразованием

У меня есть экземпляр Splunk, работающий как HEC в Docker. Я хочу реализовать переопределение типа источника для каждого события. Для этого я добавил файлы и в $SPLUNK_HOME/etc/system/local каталог.

Определения для файлов следующие

показано ниже

      [source::*testing-token*]
ANNOTATE_PUNCT=false
TRANSFORMS-test_transform=test_transform_first,test_transform_second,test_transform_default

transforms.conf показано ниже

      [test_transform_first]
REGEX=\[\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}:\d{3}\]\s\[.*
DEST_KEY=MetaData:Sourcetype
FORMAT=sourcetype::mytestcustom:myservicelogs

[test_transform_second]
REGEX=\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s.*
DEST_KEY=MetaData:Sourcetype
FORMAT=sourcetype::mytestcustom:accesscombined

[test_transform_default]
REGEX=.
DEST_KEY=MetaData:Sourcetype
FORMAT=sourcetype::mytestcustom:defaultevent

Когда я отправляю необработанное событие, HEC сопоставляет его с типом источника test_transform_default даже несмотря на то, что событие идеально подходит для любого test_transform_first или test_transform_second трансформировать.

Ниже приведен скриншот для того же

Чтобы убедиться, что регулярное выражение совместимо с Splunk, я выполнил приведенный ниже поисковый запрос и получил ожидаемый результат.

      index=testindex | regex "\[\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}:\d{3}\]\s\[.*"

Результат ниже

Стоит отметить, что преобразование по умолчанию указано как последнее преобразование в props.conf

Какова возможная причина проблемы?