Выяснил, откуда берется этот индекс. Logstash пишет туда свой logstash-plain.log.
Видимо потому, что у него нет log_type, индекс создается с таким названием.
Улучшить ситуацию получилось вот так:
output {
if [fields][log_type] {
elasticsearch {
hosts => ["localhost:9200"]
index => "%{[fields][log_type]}-%{+YYYY.MM.dd}"
}
} else {
elasticsearch {
hosts => ["localhost:9200"]
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
}
}
}
Осталось только выяснить, почему вообще Logstash его в ES отсылает?
Если кто-нибудь знает ответ на этот вопрос, напишите пожалуйста.