Это потому, что какой-то компонент (вероятно, Logsta sh) добавляет @timestamp в момент отправки данных в Elasticsearch. Решение: добавьте @timestamp в источнике и не перезаписывайте его.
Вы можете добавить значение @timestamp с помощью Filebeat Processor или в Logsta sh, или добавив действительный @timestamp в ваши журналы из источника и войдя непосредственно в JSON, исключая любые регулярные выражения / процессы или процессоры.
Какой бы способ вы ни использовали, вы должны go через конвейер, чтобы убедиться, что он не вмешивается в @timestamp.