No necesariamente. Por ejemplo, si no configuras dynamic en el mapping/template, el log va a ser indexado, con sus propiedades creadas dinamicas si el mapping es incorrecto. De todas maneras lo mejor es utilizar stdout the output en Logstash, y luego stdin como input.
Luego en el input copias y pegas una linea, o multiple lineas de logs y modificas el filter hasta tener el output que deseas. utilizando stdout { codec => rubydebug } va a devolver un jsonn que tu puedes indexar en Elasticsearch.
LUego de objtener el json deseado, lo ideal seria con SENSE o curl agregar el json manualmente y verificar que fue indexado con las propiedades que tu quieres. Luego reemplazas los input y output por la entrada deseada (file) y luego Elasticsearch, y esto deberia fluir.
Saludos