ELK 不同行之间取值计算问题

日志格式大致是这样的：“ 日志时间   IP   start(或者是end)  ”。然后根据 IP的start 和end时间计算出各个IP的时间差。请问用ELK怎样去实现？这种逻辑在logstash中或kibana中可以实现不？这需要根据IP取出不同行的时间然后再做差。
日志示例：16/11/8 21:58:26.678  192.190.2.3  start
                16/11/8 21:58:27.123  192.190.2.4  start
                16/11/8 21:59:27.564  192.190.2.3  end
               16/11/8 21:59:28.234  192.190.2.4  end
               16/11/8 22:00:26.285  192.190.2.3  start
                16/11/8 22:01:26.369  192.190.2.3  start