测试环境 Elasticsearch 集群被多次删，请教问题排查办法。

背景：es5.6
阿里云服务器 三节点 ES 只有一个节点开启快照
有安全组 只对公司网络开启 9200 端口


起因: 某天下午同事反馈数据被删,查看主节点日志，发现删除记录，删完试图创建 read_me 索引 用的高版本 restapi 报错了。
已采取的措施：1.修改测试环境相关服务器密码，22 端口 ip 白名单限制。2.公司内部访问 9200 9300 通过 nginx 域名代理其他端口访问 http 端口增加 basic 认证 es 机器独立安全组，开启阿里云内网白名单。3.阿里云漏洞病毒扫描。4 ，关闭模糊匹配删除索引。4.开启集群所有机器快照。
采取以上措施后，两周后又被删了好几次，现在想不通了，接下来打算增加 xpack ，但还是想找到原因。