Столкнулся с этой проблемой, и решил её.
Дело в следующем: протокол netflow v9 весьма гибкий, и позволяет экспортерам netflow задавать свои шаблоны данных. Так, экспортеры netflow регулярно передают особые flowset, которые определяют шаблоны передаваемых данных.
Шаблон идентифицируется полем Template Id. Микротик использует 256 для шаблона ipv4 и 257 для шаблона ipv6. И всё бы ничего, если б микротик не менял шаблон от версии к версии, или менял бы template Id со сменой шаблона!
Логстеш или flowbit ориентируются на template Id при выборе шаблона для парсинга пакетов netflow. При получении нового шаблона с тем же Id, шаблон заменяется, и пакеты с хостов с несоответствующим шаблоном начинают парситься неправильно.
Решение одно - разнести микроты разных версий по разным пайплайнам логстеш.