Elastic 9.4：Workflows 正式发布、Agent Builder 更新以及 Prometheus/PromQL 支持

Elastic 9.4 带来的 Elasticsearch Platform 在四个维度上进一步增强：自动化与编排、查询语言表达能力、AI 原生分析师体验，以及企业部署所需的治理与合规基础架构。

Elastic Workflows 现已正式发布。Workflows 是连接 Elastic 与更广泛运营生态的自动化和编排层，使团队能够在外部系统中触发操作、协调多步骤流程，并在平台检测到的问题与实际处置行动之间形成闭环。使用 Agent Builder 构建智能体的团队会发现，Workflows 是它的天然搭档：Agent Builder 定义智能体知道什么、可以基于什么进行推理；Workflows 则定义智能体在采取行动时具体做什么。

ES|QL 是 Elastic 的核心管道式查询语言，在 9.4 版本中持续演进，新增五项功能，且全部处于技术预览阶段，包括：

• 子查询让分析师能够在单个语句中运行和组合独立的流水线，从而无需手动拼接多个查询的结果。

• 近似查询以少量聚合精度为代价，在大型数据集上显著缩短响应时间，并通过置信度信号让分析师始终了解结果的可信程度。

• 逻辑视图让团队能够一次性定义复杂查询逻辑，并在仪表板、告警和临时查询中将其作为命名数据源重复使用。

• JSON 函数提取可使用标准路径表示法，从任何 JSON 映射字段或原始 _source 文档中提取特定元素，无需重新索引或更改流水线。

• 访问所有已采集字段消除了“信息断崖”问题。映射时遗漏的字段不再永久无法访问，团队可以全面查询所有已采集内容。

详细了解 ES|QL 的新增功能。

随着 Elastic 9.4 的发布，Kibana 正在变得更加 AI 原生。AI 驱动的仪表板创建功能（技术预览版）让分析师能够用自然语言描述想要查看的内容，并让 Kibana 通过对话迭代完成构建，无需手动配置。此外，仪表板即代码功能（技术预览版）为平台团队提供了互补能力：通过 CI/CD 流水线，将仪表板作为可进行版本控制和代码评审的资产来管理，从而彻底取代脆弱且如今已显得“老派”的已保存对象导出/导入工作流。这些新功能共同体现了 Kibana 正在持续演进为更智能、更具协作性的工作空间。

Elastic 9.4 还为负责保持平台健康运行、可审计且安全的运维人员和合规团队带来了一系列重要进展。值得关注的增强功能（均已正式发布）包括：

• Kibana 中的查询活动功能可让管理员即时了解每个长时间运行的查询及其来源，并能一键取消。

• 搜索分析日志将审计跟踪扩展到 DSL、ES|QL、EQL 和 SQL 中的每个查询，无需配置即可捕获延迟、请求来源和完整查询体。

• 面向 Kibana 连接器的基于用户的身份验证功能可使用个人身份替代共享服务账户凭据，为合规团队提供跨各项集成的准确、可信审计跟踪。

• FIPS 140-3 合规性现已面向 Elasticsearch 和 Kibana 正式发布，可在 2026 年 9 月截止日期之前提供全栈覆盖，并提供清晰的升级路径，无需迁移数据。

在上面链接的博客和Elasticsearch Platform 9.4 发行说明中查找更多详细信息。

Elastic 9.4 为使用 Elasticsearch 构建 AI 智能体的开发者提供了更多生产环境所需能力：更严格地控制智能体知道什么、如何行动，更深入地了解其性能，并提升底层向量工作负载的经济性。

DiskBBQ 是 Elastic 领先的向量索引和搜索算法，在 Elasticsearch 9.4 中得到了改进。在众多增强功能中，对于使用限制性筛选器的查询，查询性能至少提升 3 倍；向量比较性能也得到提升（得益于现在对原生代码的广泛使用），并同时影响索引和搜索。此外，现在还可以使用 BBQ 将向量量化为元素位宽为 2、4 和 7 位的向量，从而在单比特不足时实现更高召回率。这些更新将有助于确保生产型 AI 工作负载在速度与成本效率之间取得理想平衡。

GPU 加速向量索引已在 Elastic 9.3 中作为技术预览版发布，现已正式发布。通过将 NVIDIA cuVS 这一用于 GPU 加速向量搜索和数据集群的开源库集成到 Elasticsearch 中，自托管 Elastic 客户有望实现索引吞吐量最高提升 12 倍，强制合并速度提升 7 倍。

一个 新的对话助手 指导开发人员在 Cursor、Claude Code 和 Kibana 中从想法到工作搜索实现。它询问您正在构建什么，理解您的数据，推荐正确的方法，指导映射和索引，并生成工作实现——在每一步都主动展示 Elasticsearch 概念。对于构建第一个搜索应用程序或原型新用例的团队来说，这将数小时的文档阅读替换为数分钟的引导式构建。

新的 LLM 模型现在可在 Stack 各版本发布之间以连接器形式提供。同时，Elastic 9.4 在 Elastic 生态系统中建立了统一且权威的推理管理体验，让您能够在一个位置管理所有 Search & AI 工作流中的推理端点、模型和连接器。

如需了解更多详情，请查阅上文相关博客以及 Search & AI 9.4 发行说明。

AI 工作负载、Kubernetes 无序扩张和微服务激增，已将指标量从数百万个时间序列事件推高到数亿个。SRE 团队需要关联比以往更多的高基数信号、更多服务和更多临时基础架构，却可用时间更少。现有工具让情况更加糟糕：在 Datadog 上，自定义指标会使账单平均增加 52%，因此团队为了控制预算，会剔除高基数标签，却又在事件处理过程中不得不回头查找这些标签。在 Prometheus 和 Grafana 上，高基数仍会降低性能，日志和指标位于不同后端，而关联单个时间戳则意味着要在两种查询语言之间切换。无论哪种情况，团队最终都会在最不该失去可见性的时刻陷入盲区。

Elastic Observability 9.4 将指标能力提升到团队已经信赖的日志能力同等标准。Elasticsearch 现在是处理这些指标最快的平台：速度比 Prometheus 快 25 倍，存储效率高 2.6 倍，成本不到 Datadog 的 50%，且没有基数限制，也不会因自定义指标产生额外费用。Kibana 中的原生 PromQL 支持意味着现有查询、仪表板和告警规则无需修改即可正常工作。

9.4 还为 Elastic Observability 引入了首批智能体调查能力。其中，Kubernetes 率先获得 AI 驱动型工作流，可帮助 SRE 在打开仪表板之前识别根本原因。

智能体技能（Agent Skills）是开源软件包，可为您的 AI 编码智能体提供原生 Elastic Observability 专业能力，使其能够在 Elastic 中运行真正的可观测性工作流。此版本涵盖 SRE 和开发人员每天运行的五个核心工作流：

• 使用 OpenTelemetry 对应用程序进行插桩

• 搜索日志

• 管理 SLO

• 评估服务健康状况

• 监控 LLM 应用程序

这些任务需要熟悉特定的 API、索引模式和 Kibana 工作流程。对于容易出错且在每种服务和环境中重复使用非常耗时的领域知识，Agent Skills 会将这些知识打包成可重复使用的单元，以实现一致和准确的执行。

此外，您还可以在 Agent Skills 存储库中找到所有技能包，并立即开始构建。

另外，托管式 OTLP 端点现已在 Elastic Cloud Hosted 上正式发布，为团队提供了一条简单路径，可将 OpenTelemetry 数据（日志、指标和跟踪）直接发送到 Elastic。对于基本数据采集，无需部署或运维收集器，从而减少管理开销。这降低了采用 OpenTelemetry 的门槛，加快了数据接入，并削减了自托管收集器层的维护成本。

如需了解更多详情，请参阅上方链接的博客和 Elastic Observability 9.4 发行说明。

Elastic 9.4 从五个维度提升安全能力：原生工作流自动化，无需独立 SOAR 工具；数据管理和合规功能，让自动化值得信赖；专用 AI 智能体技能，将多步骤 SOC 智能引入告警分类、威胁搜寻和调查；全新的实体分析方法，在架构层面解决身份噪声；以及更深入的端点取证能力，为调查和响应团队提供支持。

在 Elastic Workflows 发布的基础上，只有底层数据完整且访问得到妥善治理，自动化才值得信赖。Elastic 9.4 通过以下方式同时解决这两方面问题：

• 细粒度检测和告警权限 现已正式发布，使安全团队能够为检测规则和告警分别配置访问控制，确保初级分析师可以分类和更新告警，而无需修改核心检测规则逻辑。

• SIEM 就绪状态：可见性健康状态与数据覆盖现已作为技术预览版提供，可在 Elastic Security 中提供集中且持续更新的健康视图。它会评估五类日志（端点、身份、网络、云和应用/SaaS）的覆盖范围、质量、连续性和保留情况，让团队始终了解其数据是否已达到支持主动检测的良好状态。

Elastic 9.4 为 Elastic AI Agent 引入五项专用技能，使其在最关键的 SOC 工作流中具备深厚领域专长：告警分类、检测规则编写、实体调查、威胁搜寻和异常分析。两项平台技能（仪表板管理和图表创建）也可与这些安全专属技能一起供 Elastic AI Agent 使用。工作流编写作为实验性功能随 9.4 发布。Elastic AI Agent 可以按顺序调用多项技能，在单次调查中从威胁搜寻转向检测调优，再转向工作流创建。更多安全技能正在开发中，包括检测仿真、二进制分析和告警去重。

Elastic 9.4 通过实体分析，在数据模型层面解决身份噪声问题。它不是依靠更多仪表板，而是通过四项全新正式发布的功能，为分析师提供每个人一条权威记录，其中包含聚合风险和上下文：

• 精确实体识别可将不同来源的日志统一为高置信度、经过验证的用户、主机和服务身份档案，并在平台层面自动治理，而非由分析师手动管理。

• 实体解析 将碎片化的数字账户——Okta、Entra、Active Directory——整合为每位员工的单一统一记录。

• 动态观察列表可为高价值实体（例如高管、特权管理员、处于离职通知期的用户，或团队定义的任何“核心资产”标记）引入风险评分加权因子，使组织上下文成为风险评分的一项关键输入。

• 实体驱动的威胁搜寻线索可将威胁搜寻从被动转向主动，通过带有上下文说明的方式，呈现基于风险的线索。这些线索会根据您环境中的实际行为模式量身定制，而不是让分析师从空白页开始。

Elastic 9.4 通过四项全新正式发布的功能，扩展了端点调查的深度和覆盖范围，从远程脚本执行，到跨平台内存取证，再到重新设计的 Osquery 工作流：

• Runscript 响应操作和脚本库让分析师能够直接从 Response Console 在端点上远程执行脚本，也可以将其作为由集中式可复用标准化脚本库支持的自动规则操作，从而实现一致的补救、自定义取证分诊，以及 MSSP 规模化运营。

• Linux 内存转储响应操作将跨平台内存取证扩展到 Linux，使团队能够在 Elastic Security 内跨主流操作系统采集进程内存，并且无需借助外部工具，即可支持无文件恶意软件、内存常驻攻击和运行时工件提取。

• Osquery 增强带来全新设计的体验，包括统一的历史记录页面、增强型结果视图，以及高级搜索和筛选功能，从而弥补可用性短板，并在规模化场景下提升分析师效率。

• Jumplists Osquery 表扩展和取证查询包提供面向 Browser History、Amcache 和 Jumplists 的预建查询，为团队提供可直接运行的取证查询，用于重建用户活动时间线和攻击者行为。

有关这些功能的更多详情，请参阅 Elastic Security 9.4 发行说明。

Elastic 在两次发布之间也有许多进展，Elastic 9.3 到 Elastic 9.4 之间的这段时间也不例外。对于可能错过部分重大新闻的读者，以下是一些值得了解的重要事项和相关阅读：

• Elastic AutoOps 现已免费提供。Elastic AutoOps 可将诊断和运营洞察直接引入您的环境，改变您管理 Elasticsearch 的方式，而且现在无需额外付费。

• 跨项目搜索现已作为技术预览版推出。您可以通过单一界面同时查询多个 Elastic Cloud Serverless 项目，同时不打破项目级隔离或安全边界。

• Elastic Cloud Serverless 和 Elasticsearch 统一 API 密钥现已推出。使用一个 API 密钥即可管理跨项目的基础架构和数据查询，同时保留细粒度权限控制。

• 新的 ARM 硬件配置文件可提供更优性价比：使用 Graviton4 的存储优化型工作负载性价比最高提升 40%，使用 Axion 的 CPU 密集型工作负载性价比最高提升 25%。

• Elastic Cloud Serverless 持续扩展：随着近期在 Azure、AWS 和 Google Cloud 上新增区域，Elastic Cloud Serverless 现已在全球 29 个区域上线。

借助 Agent Builder 和 Workflows 等一系列重要的全新及增强型平台功能，以及时间序列能力方面的重大进展和更多出色功能，Elastic 9.4 已准备好帮助您和您的组织将数据转化为答案、行动和成果。

那么……您还在等什么？Elastic 9.4 现已在 Elastic Cloud 上正式推出。Elastic Cloud 是托管式 Elasticsearch 服务，包含此最新版本中的所有新功能。