Hola @Guif, siento la demora en obtener una respuesta por aquí.
Si lo tienes ya todo casi listo puedes configurar un ingest pipeline (Parse data using an ingest pipeline | Filebeat Reference [8.5] | Elastic y Ingest pipelines | Elasticsearch Guide [8.5] | Elastic) por ejemplo.
Un poco histórico y han cambiado muchas cosas, pero aún interesante sobre el concepto: A New Way To Ingest - Part 1 | Elastic Blog y A New Way To Ingest - Part 2 | Elastic Blog
Si hace falta mas control podemos pensar en utilizar Logstash.
Veo que ya tenemos algunos threads sobre el tema, e.g.