Ответ 1
В выводе elasticsearch вы можете установить document_id для события, которое вы отправляете. В итоге это будет _id в поиске elastics. Вы можете использовать всевозможные параметры/ссылки на поля /..., которые доступны в конфигурации logstash. Вот так:
elasticsearch {
host => yourEsHost
cluster => "yourCluster"
index => "logstash-%{+YYYY.MM.dd}"
document_id => "%{someFieldOfMyEvent}"
}
В этом примере someFieldOfMyEvent становится _id этого события в ES.