正解は C.MonitorNoHandle です。
MonitorNoHandleは、SplunkフォワーダーがWindowsシステム上のファイルにWindowsからの書き込みと同時に読み取ることができる入力スタンザの一種です。これは、カーネルモードフィルタドライバを用いて、ファイルに書き込まれる生データをキャプチャすることで実現されます1。この入力スタンザは、Windows DNSサーバーのログファイル2のように、書き込みのためにロックされたファイルに役立ちます。
その他のオプションは、次の理由により正しくありません。
A: Tail ReaderはSplunkの有効な入力スタンザではありません。これは、ファイルとディレクトリ内の新規データを監視するTailing Processorのコンポーネントです3。
B: アップロードは、Splunk がローカルまたはネットワークファイルシステムから単一のファイルをインデックス化できるようにする入力スタンザの一種です。ファイルのインデックス化は一度のみで、変更の監視は行われないため、頻繁に更新されるファイルには適していません4。
D: Monitor は、Splunk がファイルやディレクトリの新しいデータを監視できるようにする入力スタンザの一種です。ただし、Windows によってファイルが開かれている間は Splunk の読み取りがブロックされている場合、このスタンザは機能しない可能性があります。そのような場合は、MonitorNoHandle を使用する方が適切です2。
Splunkフォワーダーは、Splunkデプロイメントにデータを転送できる軽量エージェントです。フォワーダーには、ユニバーサルフォワーダーとヘビーフォワーダーの2種類があります。ユニバーサルフォワーダーはデータの転送のみを行いますが、ヘビーフォワーダーは転送前にデータの解析、フィルタリング、ルーティング、集約も実行できます5。
入力スタンザは、inputs.conf 設定ファイル内のセクションであり、ファイル、ディレクトリ、ネットワークポート、スクリプト、Windows イベントログなど、特定の種類の入力に関する設定を定義します。入力スタンザは角括弧で始まり、その後に入力の種類と入力パスまたは名前が続きます。例えば、[monitor:///var/log] は、/var/log ディレクトリを監視するための入力スタンザです。
参考文献:
1: ファイルとディレクトリを監視する - Splunk ドキュメント
2: 適切な改行を行うための props.conf の設定方法 - Splunk コミュニティ
3: Splunk Enterprise によるファイルとディレクトリの監視方法 - Splunk ドキュメント
4: ファイルのアップロード - Splunk ドキュメント
5: フォワーダーを使用して Splunk Enterprise にデータを取り込む - Splunk ドキュメント
6: inputs.conf - Splunk ドキュメント

- etc/system/local/ はインデックス時に優先されます - 同じファイル内の同一の設定の場合、最後の設定が他の設定を上書きします。以下を参照してください: https://community.splunk.com/t5/Getting-Data-In/What-is-the-precedence-for-identical-stanzas-within-a-single/mp/283566

説明
[monitor::/opt/log/crashlog/Jan27crash.txt]。このスタンザは、Splunkが/opt/log/crashlog/ディレクトリ内のJan27crash.txtという単一のローカルファイルを監視していることを意味します1。monitor入力タイプは、ファイルとディレクトリの変更を監視し、追加された新しいデータをインデックス化するために使用されます2。

説明/参照: https://docs.splunk.com/Documentation/Splunk/7.3.1/Forwarding/Typesofforwarders

https://docs.splunk.com/Documentation/Splunk/8.0.3/DistSearch/分散検索グループ