Если есть возможность, попробуйте загрузить кластер через кастомную утилиту типа rally или esBench, если кластер выдаст нормальную скорость (примерно 25к документов в секунду * на 20 дата-нод), тогда явно проблема с загрузкой из logstash. Если же другие утилиты не помогут, то проблема с самим кластером и его настройками.
Из очевидных "подводных камней":
- Нет ли дисбаланса шардов по тем нодам на которых наибольшая нагрузка? То есть грубо, не создал ли эластик большинство шардов, куда идет загрузка, на тех 2 нодах где всплеск нагрузки?
- Нет ли проблем со свободной памятью на ОС и насколько нагружен heap дата-нод и мастеров?
- Не уходят ли сервера в своп?
- Что делают эти несколько нагруженных нод, надо смотреть чем они заняты через hot-threads?
- Не меняли ли настройки эластика и JVM?