Skip to main content

Forrester Wave™ 领导者,2025 年第二季度

访问报告
关于我们合作伙伴支持|登录
Elastic logo
开始免费试用联系销售人员

面向 Microsoft Build 与会者和 Azure 开发人员的 Elastic 2026 重要总结

具备记忆能力的 AI 智能体。性能较 Prometheus 提升 30 倍。一个索引覆盖所有媒体。以下是 Elastic 在 2026 年发布的内容。

By
Greg Crist
MS-Build.jpg

截至目前,Elastic 在 2026 年已经发布了四项重大改进,改变了您的搜索方式以及我们的 AI 堆栈的功能。

  • Elastic Inference Service (EIS) 现已托管 jina-embeddings-v5-omni,可将文本、图像、视频和音频整合到单个 Elasticsearch 索引中,并支持近 100 种语言。
  • Elastic Agent Builder 已发布上下文管理、技能以及企业连接器,使 AI 智能体能够在大规模长对话中保持准确性。
  • 重建的指标引擎以每个数据点 3.75 字节的方式存储 OpenTelemetry (OTel) 数据,并且其查询速度比早期 Elasticsearch TSDS 快 160 倍。
  • Elastic Security Labs 开源了一个 CI/CD 管道检测器,可在攻击者侵入生产环境之前捕获 GitHub Actions 和 Azure DevOps 中的攻击行为。

在本博客中了解我们在 2026 年发布的内容。

Elastic 成为 2026 年 Azure 开发人员首选平台的 4 个原因

1. Elasticsearch 现在是基于 Azure AI Foundry 构建的智能体的检索层

AI 智能体在生产环境中最常见的故障原因是上下文问题 — 在推理时传递给智能体的数据可能是错误的、过时的,或者根本不存在。Elastic 9.4 通过三项生产级能力解决了此问题,并将其引入到目前已正式发布的 Agent Builder

  1. 技能:指令包由智能体按需加载,为其提供领域的专业知识,而不会使每个上下文窗口变得膨胀。目前已发布 5 个面向安全运营的专用技能,以及 5 个面向站点可靠性工程 (SRE) 工作流的技能,并且仍有更多技能正在开发中。

  2. 原生 Microsoft 365 连接器:SharePoint 和 Drive 的内容通过语义元数据层直接进入智能体上下文。企业语料库成为检索主干,而 Elasticsearch 则充当索引。

  3. 大规模上下文管理:通过查询结果卸载、压缩和摘要处理,在生产环境中保持长时间、多轮次智能体对话的准确性和成本效率。

通过 NVIDIA cuVS 实现的 GPU 加速索引(已在 Elastic 9.4 中正式发布),即可将索引吞吐提升 12 倍。Elastic 的向量索引算法 DiskBBQ 将带有限制性过滤条件的查询延迟至少提升了 3 倍。对于在 Azure 上运行、使用高基数嵌入的 AI 工作负载而言,这种基础设施优势会在大规模场景下直接体现为延迟和成本的降低。

Microsoft Azure AI 集成在 Elasticsearch Labs 生态系统中是一级公民。如果您使用的是 Azure OpenAI Service 或 Azure AI Foundry 模型,Elasticsearch 已准备好作为检索主干,内置混合搜索(BM25 + 向量)、重排序以及上下文工程。

对于 Azure 生态系统中的 TypeScript 和 JavaScript 开发者,Elastic 还在 2026 年 4 月发布了一个流畅且类型安全的 Elasticsearch 查询语言 (ES|QL) 查询构建器。不再需要为查询进行原始字符串插值,也不会再因为字段名称拼写错误而在运行时出现意外问题:

const query = esql
  .from('logs-*')
  .where('event.category', '==', 'authentication')
  .stats('count(*)', { by: ['user.name', 'host.name'] })
  .sort('count(*)', 'desc')
  .limit(10);

面向智能体所接触的所有媒体类型的统一索引
Microsoft 365 内容不仅是文本。SharePoint 库中包含 PDF、幻灯片和扫描图像。Teams 会保存会议录音。Azure Blob Storage 中存放产品图片、培训视频以及客户通话音频。直到现在,对每种类型进行索引都需要单独的模型和单独的管道。

jina-embeddings-v5-omni 托管在 Elastic Inference Service 上,可将文本、图像、视频和音频放入同一个 Elasticsearch 索引中。一次查询即可跨所有媒体类型同时检索语义相关内容,覆盖近 100 种语言。该模型提供 small 和 nano 两种尺寸,均针对标准 GPU 硬件进行了优化。

对于已有文本索引的开发者,jina-embeddings-v5-omni 生成的文本嵌入与 jina-embeddings-v5-text 完全一致。您可以在不重建索引的情况下,将文本索引扩展为支持图像、音频和视频。启用 Elasticsearch BBQ 量化后,该模型在存储嵌入时可减少 93% 的空间占用,同时性能损失低于 3%。

注意:jina-embeddings-v5-omni 可在 CC-BY-NC-4.0 许可证下用于非商业评估。如需商业部署,请联系 Elastic 销售

2. Elastic 现在已集成到 VS Code、Cursor 和 GitHub Copilot 中

2026 年 4 月,Elastic 发布了 MCP Apps — 基于 MCP App 标准构建的交互式 UI,可在 AI 对话中直接渲染,该标准由 Anthropic 与 OpenAI 共同制定。同时上线了 3 个 MCP App:安全、可观测性和搜索。三者均可在 VS Code CopilotCursor 以及 Claude Desktop 中原生运行。

Elastic Security MCP App 提供 6 个交互式安全运营中心 (SOC) 仪表板,可在不离开编码环境的情况下直接在聊天中内联渲染:

  1. 交互式 UI:警报分类:获取、筛选并分类安全警报。包含严重性分组、AI 判断卡、进程树以及网络事件。

  2. 攻击发现:基于 AI 的攻击链关联分析与按需生成。攻击描述卡,提供置信度评分、实体风险和 MITRE 映射能力。

  3. 案件管理:创建、搜索并管理调查案件。案件列表包含警报、可观测数据、“评论”选项卡以及 AI 操作。

  4. 检测规则:浏览、调优并管理检测规则。规则浏览器支持 KQL 搜索、查询验证以及噪声规则分析。

  5. 威胁狩猎:基于 ES|QL 的工作台并支持实体调查。提供查询编辑器、可点击实体以及调查图表。

  6. 示例数据:生成符合 ECS 标准的安全事件,用于常见攻击场景。场景选择器,包含 4 种预置攻击链。

所有操作都通过产品使用的相同 API 写回 Elasticsearch 和 Kibana。基于角色的访问控制通过现有的 Elasticsearch API 密钥进行强制执行。配置只需双击一个 .mcpb 捆绑包即可完成,无需新增基础设施,也无需引入新的治理模型。

Kubernetes Observability MCP App 将 AKS 调查能力直接带入 VS Code。当 Pod 崩溃时,AI 编码智能体可以查询根因、显示结构化证据,并在无需打开仪表盘的情况下给出后续操作建议。

最新的 GitHub 发布版本安装这两个捆绑包。

3. Elasticsearch 现在是一个生产级的列式指标引擎

Azure 已全面拥抱 OpenTelemetry。Azure Monitor、AKS、Azure Functions 以及 Azure AI Foundry 都原生输出 OpenTelemetry 协议 (OTLP) 数据。如果您已经在收集来自 Azure 工作负载的 OTel 遥测数据,那么关键问题是这些数据最终落在哪里,以及当凌晨 2:00 出现故障时,您能多快将其查询出来。

Elastic 在 2026 年从底层重构了 Elasticsearch 的指标引擎,取得了显著成效。新的列式指标引擎将 OTel 指标以每个数据点 3.75 字节的方式存储 — 低于去年同期的 25 字节,存储效率提升 6.6 倍。查询性能相比早期 Elasticsearch TSDS 版本最高提升 160 倍。OTel 数据的索引吞吐量提升最高达 50%

这些数字背后的架构工作涉及 3 个层级:

  1. 完全列式存储:Elastic 用 doc value skippers 替代了维度字段上的倒排索引和 BKD 树,这是一种 Lucene 原生结构,用于强化列式布局并消除重复索引开销。每个字段都存储在独立文件中,没有行级跟踪,也不会产生存储膨胀。

  2. 向量化 ES|QL 计算引擎:新的 TS 源命令(已在 Elastic 9.4 中正式发布)通过两层模型执行时序聚合:首先是每条时间序列的内部聚合,例如 RATE()AVG_OVER_TIME(),然后再对这些结果进行外层聚合。计算引擎以时序排序方式处理数据,并直接零拷贝解码到其操作的原始数组中。计数器速率、仪表平均值以及窗口查询都支持并行向量化执行。

  3. 原生 OTLP 摄取:专用 OTLP protobuf 端点(已在 Elastic 9.3 中正式发布)可直接接收来自 OpenTelemetry 收集器的数据,无需 JSON 转换层。在单个 protobuf 消息中,对维度进行时序 ID 计算的哈希开销可在数据点之间摊销,从而减少 20% 的索引开销。

对于已有基于 PromQL 仪表盘和警报规则的 Azure AKS 团队,Elastic 9.4 在 Kibana 中提供原生 PromQL 支持(技术预览)。现有查询无需修改即可直接运行。相同的 TSDS 存储和向量化计算引擎同时为 PromQL 和 ES|QL 查询提供底层支持,实现二者并行运行。

其结果是单一平台,可同时处理日志、指标、追踪和安全数据,无需单独维护多个后端系统、没有基数限制,也无需按指标计费。对于已经在输出 OTel 数据的 Azure 开发者而言,将数据接入 Elasticsearch,相比在现有日志基础设施之外再运行一套独立指标堆栈,存储成本更低,查询速度也更快。

以下是一个针对 Azure AKS 工作负载的 ES|QL 时序查询示例:

TS metrics-hostmetricsreceiver.otel-default
| WHERE TRANGE(4h)
| STATS AVG(RATE(system.cpu.time)) BY host.name, TBUCKET(5m)

4. Elastic 现在保护您构建的应用,包括部署这些应用的管道

CI/CD 管道是 2026 年的首要攻击目标,它们直接面向 Azure 和 GitHub 开发人员。

Elastic Security Labs 在 2026 年 4 月的研究中指出一个在行业内逐渐显现的模式:攻击者不再直接针对生产服务器,而是转向攻击用于部署这些服务器的自动化流程。2025 年 9 月的 GhostAction 攻击活动通过注入恶意工作流文件,从 817 个 GitHub 仓库中窃取了 3,325 个密钥。2026 年 2 月,HackerBot-Claw 通过 GitHub Actions 配置漏洞入侵 Aqua Security 的 Trivy 仓库,导致 33,000 个密钥泄露,影响 7,000 台机器,Microsoft 自己的安全团队随后记录了这一事件。

Elastic Security Labs 开源了 cicd-abuse-detector,这是一个可直接嵌入 CI 流程的模板,内置 50 多个信号提取模式,并结合大语言模型 (LLM) 推理,用于检测 GitHub Actions、GitLab CI 以及 Azure DevOps 管道中的可疑变更。该工具可在标准 ubuntu-latest 运行器上运行,无需任何 Python 依赖关系。结论会交给 Elasticsearch,用于跨平台关联分析:

FROM logs-cicd.abuse-* 
WHERE verdict.verdict IN ("malicious", "suspicious") AND @timestamp > NOW() - 7 days
| EVAL platform = cicd.platform, repo = cicd.repository, actor = cicd.actor
| SORT @timestamp DESC

一次查询,覆盖所有平台,可查询历史数据。

针对 Entra ID 和 Active Directory 环境,Elastic Security 9.4 在数据模型层面新增了 4 项实体分析能力,用于在数据模型层解决身份噪声问题:

  1. 实体解析:将 Okta、Microsoft Entra ID 和 Active Directory 统一为每个员工的单一验证身份记录。(当威胁行为者使用同一身份在三个系统中横向移动时,Elastic 将其识别为一个实体,而不是三条独立警报。)

  2. 动态观察列表:为 Azure 特权管理员、高管以及关键核心服务账户注入风险倍数

  3. 实体驱动的狩猎线索:基于具体环境自动生成主动式威胁狩猎线索,而不是从空白查询开始

  4. 精确实体识别:在平台层自动管理身份统一

针对 Azure AI Foundry 与 LLM 应用,Elastic 9.1 发布的 Azure AI Foundry 集成可将 Azure AI Foundry 上托管的任何 AI 模型的日志和指标自动提取到 Elasticsearch 中,从而集中实现可观测。在此基础上,Elastic Observability 提供覆盖智能体链的完整分布式追踪、令牌成本追踪、延迟监控以及安全评估,使您能够精确分析智能体的执行操作、成本开销以及故障发生位置。

面向管理 Kibana 的 GitHub Actions 与 Azure DevOps 用户,Elastic 9.4 推出了 Dashboards as Code — 通过 CI/CD 管道部署的受版本控制的 Kibana 仪表盘。仪表盘与应用代码一同存放在源代码仓库中。拉取请求、审查门禁和自动推出同样适用于您的可观测性与安全视图,就像它们适用于这些视图监测的服务一样。

合规性:Elasticsearch 和 Kibana 已在 Elastic 9.4 中正式支持 FIPS 140-3 合规性,并领先于 2026 年 9 月的截止期限。同时,Elastic Cloud Serverless 已在全球 9 个 Azure 区域上线,并将在未来数月持续扩展 Azure 区域覆盖。

从这里开始:为 Microsoft Build 参会者提供的 4 个行动建议

  1. 立即将 Elasticsearch 接入您的 Azure AI Foundry 智能体。开启 Elastic Cloud 免费试用,进入 Microsoft Azure AI 集成,将首个基于 Azure OpenAI 的智能体连接到 Elasticsearch 作为检索层。一个可运行的原型在一小时内即可完成。
  2. 在 VS Code 中安装 Elastic MCP App。.mcpb 捆绑包中下载,来源为最新发布版本。在 VS Code Copilot 中使用您的 Elasticsearch URL 和 API 密钥进行连接。您的首次安全分类或 Kubernetes 调查将在 5 分钟内在聊天中运行。
  3. 将您的 Azure OTel 指标接入 Elasticsearch。在 Elastic Cloud 中启用托管的 OTLP 端点,并将 Azure Monitor 的 OTel 收集器指向该端点。在同一条 ES|QL 管道中查询 AKS 指标、主机遥测以及应用追踪,无需单独的指标后端。
  4. 加固您的 GitHub Actions 和 Azure DevOps 管道。克隆 cicd-abuse-detector 仓库,将其加入您的下一次拉取请求检查。对照完整威胁模型审查您的管道配置。整个方案可直接运行在现有运行器上,无需额外依赖关系,仅需 Claude Code CLI。

2026 年的 Elasticsearch 平台是为在 Microsoft 与 Azure 生态中工作的开发者构建的。智能体、指标、管道和身份在这里汇聚。与我们一起构建。

本文中描述的任何功能或功能性的发布和时间均由 Elastic 自行决定。当前尚未发布的任何功能或功能性可能无法按时提供或根本无法提供。

注册 Elastic Cloud 免费试用版

在您所选的云服务提供商平台上迅速完成全套技术栈的部署。作为 Elasticsearch 的开发公司,我们为您在云端的 Elastic 集群提供多项功能和贴心支持。

开始免费试用