Ich habe eine Nachricht, die mehrere Systeme durchläuft. Jedes System protokolliert die Ein- und Ausgabe von Nachrichten mit einem Zeitstempel und einer uuid messageId. Ich nehme alle Protokolle durch:

filebeat --> logstash --> elastic search --> kibana

ls Ergebnis habe ich jetzt diese Ereignisse:

@timestamp                      messageId                               event 
May 19th 2016, 02:55:29.003     00e02f2f-32d5-9509-870a-f80e54dc8775    system1Enter
May 19th 2016, 02:55:29.200     00e02f2f-32d5-9509-870a-f80e54dc8775    system1Exit
May 19th 2016, 02:55:29.205     00e02f2f-32d5-9509-870a-f80e54dc8775    system2Enter
May 19th 2016, 02:55:29.453     00e02f2f-32d5-9509-870a-f80e54dc8775    system2Exit

ch möchte einen Bericht (im Idealfall einen gestapelten Balken oder eine gestapelte Spalte) über die in jedem System verbrachte Zeit erstelle

messageId                               in1:1->2:in2
00e02f2f-32d5-9509-870a-f80e54dc8775    197:5:248

Was ist der beste Weg, dies zu tun? Logstash-Filter? kibana berechnete Felder?