Eu tenho uma mensagem que flui através de vários sistemas, cada sistema registra a entrada e a saída da mensagem com um registro de data e hora e um uID de mensagem. Estou ingerindo todos os logs através de:

filebeat --> logstash --> elastic search --> kibana

Como resultado, agora tenho estes eventos:

@timestamp                      messageId                               event 
May 19th 2016, 02:55:29.003     00e02f2f-32d5-9509-870a-f80e54dc8775    system1Enter
May 19th 2016, 02:55:29.200     00e02f2f-32d5-9509-870a-f80e54dc8775    system1Exit
May 19th 2016, 02:55:29.205     00e02f2f-32d5-9509-870a-f80e54dc8775    system2Enter
May 19th 2016, 02:55:29.453     00e02f2f-32d5-9509-870a-f80e54dc8775    system2Exit

Gostaria de produzir um relatório (de preferência uma barra ou coluna empilhada) do tempo gasto em cada sistema:

messageId                               in1:1->2:in2
00e02f2f-32d5-9509-870a-f80e54dc8775    197:5:248

Qual é a melhor maneira de fazer isso? Filtros de logstash? campos calculados kibana?