Algo como abaixo deve funcionar, eu não testei. você precisará substituir o indexname pelo nome de seus arquivos de configuração logstash de verificação de índice. Você também precisará verificar se o endereço IP 127.0.0.1 é o que você gostaria de usar. Eu atualmente tenho definido para 1d, que é 1 dia, mas mudar isso para o que você gosta. para saber como editar o mapeamento, consulte aqui
curl -XPUT http://127.0.0.1:9200/_mapping {"indexname" : {"_ttl" : { "enabled" : true, "default" : "1d" }}}
EDITAR: Eu não testei isso, pode funcionar, pode explodir o servidor por sua conta e risco.
P.S: brinque com elasticsearch tornando-se meu banco de dados favorito nos últimos meses.