Elastic 9.4: Workflows GA, Agent-Builder-Updates und Unterstützung für Prometheus/PromQL

Elastic 9.4 liefert eine Elasticsearch-Platform, die in vier Dimensionen leistungsfähiger geworden ist: Automatisierung und Orchestrierung, Ausdruckskraft der Abfragesprache, KI-native Analystenerfahrungen sowie die Governance- und Compliance-Infrastruktur, die Unternehmens-Deployments erfordern.  

Elastic Workflows ist jetzt allgemein verfügbar. Workflows ist die Automatisierungs- und Koordinationsschicht, die Elastic mit der übergeordneten Betriebsumgebung verbindet. Sie ermöglicht es Teams, Aktionen in externen Systemen auszulösen, mehrstufige Prozesse zu koordinieren und die Lücke zwischen dem, was die Plattform erkennt, und den daraus resultierenden Maßnahmen zu schließen. Für Teams, die mit Agent Builder arbeiten, ist Workflows die ideale Ergänzung: Agent Builder definiert, was ein Agent weiß und wie er Schlussfolgerungen zieht; Workflows definiert, wie er handelt.

ES|QL, Elastic’s führende Abfragesprache mit Pipe-Zeichen, entwickelt sich in 9.4 weiter und bietet fünf neue Funktionen – alle in der technischen Vorschau –, darunter:

• Unterabfragen ermöglichen es Analysten, unabhängige Pipelines in einer einzigen Anweisung auszuführen und zu kombinieren, wodurch die Notwendigkeit entfällt, Ergebnisse manuell über mehrere Abfragen hinweg zu verbinden.

• Approximate Queries tauschen ein geringes Maß an Aggregationsgenauigkeit gegen deutlich schnellere Antwortzeiten bei großen Datensätzen mit Konfidenzsignalen ein, sodass Analysten stets wissen, inwieweit sie dem Ergebnis vertrauen können.

• Logische Ansichten ermöglichen es Teams, komplexe Abfragelogik einmal zu definieren und sie als benannte Datenquelle über Dashboards, Warnungen und Ad-hoc-Abfragen wiederzuverwenden.

• Die JSON-Funktions-Extraktion extrahiert bestimmte Elemente aus beliebigen JSON-zugeordneten Feldern oder Rohdaten-Dokumenten unter Verwendung der Standard-Pfadnotation – eine Neuindizierung oder Änderungen an der Pipeline sind nicht erforderlich.

• Der Zugriff auf alle importierten Felder beseitigt die „Wissenslücke“. Felder, die beim Mapping übersehen wurden, sind nun nicht mehr dauerhaft unzugänglich, sodass Teams uneingeschränkten Zugriff auf alle importierten Daten haben.

Erfahren Sie mehr darüber, was es Neues bei ES|QL gibt.

Mit Elastic 9.4 wird Kibana zunehmend KI-nativ. KI-gestützte Dashboard-Erstellung (technische Vorschau) ermöglicht es Analysten, in natürlicher Sprache zu beschreiben, was sie sehen möchten, und zu beobachten, wie Kibana es iterativ, im Dialog und ohne manuelle Konfiguration erstellt. Darüber hinaus bietet Dashboards as Code (technische Vorschau) Plattformteams eine ergänzende Funktion: Dashboards werden als versionskontrollierte und codeüberprüfbare Assets verwaltet, die über CI/CD-Pipelines bereitgestellt werden, wodurch der anfällige (und mittlerweile „veraltete“) Export-/Import-Workflow für gespeicherte Objekte vollständig ersetzt wird. Zusammen stehen diese neuen Funktionen für die kontinuierliche Weiterentwicklung von Kibana hin zu einem intelligenteren, kollaborativen Arbeitsbereich.

Elastic 9.4 bietet zudem eine Reihe bedeutender Neuerungen für die Betreiber und Compliance-Teams, die dafür verantwortlich sind, dass die Plattform einwandfrei funktioniert, überprüfbar und sicher ist. Zu den bemerkenswerten Verbesserungen – alle allgemein verfügbar – gehören:

• Die Abfrageaktivität in Kibana ermöglicht Administratoren die sofortige Einsicht in jede langlaufende Abfrage mit ihrem Ursprung und die Möglichkeit, sie mit einem einzigen Klick abzubrechen.

• Search Analytics Logs erweitert den Prüfpfad auf alle Abfragen in DSL, ES|QL, EQL und SQL und erfasst dabei Latenzzeiten, die Herkunft der Anfragen sowie den vollständigen Abfragetext, ohne dass eine Konfiguration erforderlich ist.

• Per-Nutzer-Authentifizierung für Kibana-Connectoren ersetzt gemeinsame Servicekonto-Anmeldeinformationen durch individuelle Nutzeridentität und bietet Compliance-Teams genaue und vertrauenswürdige Audit-Trails über alle Integrationen hinweg.

• FIPS 140-3 Compliance, die nun sowohl für Elasticsearch als auch für Kibana allgemein verfügbar ist, bietet bereits vor Ablauf der Frist im September 2026 eine vollständige Abdeckung der gesamten Plattform – mit einem reibungslosen Upgrade-Pfad und ohne dass eine Datenmigration erforderlich ist.

Weitere Details finden Sie in den oben verlinkten Blogs und in den Versionshinweisen zur Elasticsearch Platform 9.4.

Elastic 9.4 bietet Entwicklern, die KI-Agenten mit Elasticsearch erstellen, mehr von dem, was in der Produktion gefragt ist: eine strengere Kontrolle darüber, was die Agenten wissen und wie sie agieren, einen tieferen Einblick in ihre Leistung sowie eine bessere Wirtschaftlichkeit für die zugrundeliegenden Vektor-Workloads.

DiskBBQ, Der beste Vektorindizierungs- und Suchalgorithmus von Elastic wurde in Elasticsearch 9.4 verbessert. Zu den zahlreichen Verbesserungen gehört, dass sich die Abfragelatenz bei Abfragen mit restriktiven Filtern um mindestens das Dreifache verringert hat und die Leistung bei Vektorvergleichen gesteigert wurde (dank der nun umfassenden Verwendung von nativem Code), was sich sowohl auf die Indizierung als auch auf die Suche auswirkt. Darüber hinaus ist es nun möglich, BBQ zur Quantisierung auf Vektoren mit Elementen von zwei, vier und sieben Bits zu verwenden, was eine bessere Trefferquote ermöglicht, wenn ein einzelnes Bit nicht ausreicht. Zusammen tragen diese Aktualisierungen dazu bei, ein optimales Gleichgewicht zwischen Geschwindigkeit und Kosteneffizienz für Ihre produktiven KI-Workloads zu gewährleisten.

Die GPU-beschleunigte Vektorindizierung, die in Elastic 9.3 als Technical Preview veröffentlicht wurde, ist nun allgemein verfügbar. Durch die Integration von NVIDIA cuVS, einer Open-Source-Bibliothek für GPU-beschleunigte Vektorsuche und Datenclustering, in Elasticsearch können Kunden der selbstverwalteten Elastic-Lösung mit einer bis zu 12-fachen Steigerung des Indizierungsdurchsatzes und einer 7-fachen Beschleunigung des Force-Merging rechnen.

Ein neuer dialogorientierter Assistent begleitet Entwickler von der Idee bis zur funktionsfähigen Suchimplementierung in Cursor, Claude Code und Kibana. Er fragt Sie, was Sie entwickeln, versteht Ihre Daten, empfiehlt den richtigen Ansatz, führt Sie durch die Zuordnung und Indizierung und generiert eine funktionsfähige Implementierung – wobei er Ihnen bei jedem Schritt proaktiv Elasticsearch-Konzepte näherbringt. Für Teams, die ihre erste Suchanwendung entwickeln oder einen neuen Anwendungsfall prototypisieren, ersetzt dies stundenlanges Lesen von Dokumentationen durch eine nur wenige Minuten dauernde, angeleitete Entwicklung.

Neue LLM-Modelle stehen nun als Konnektoren zwischen den Stack-Versionen zur Verfügung. Darüber hinaus bietet Elastic 9.4 eine einheitliche, zentrale Oberfläche für das Inferenzmanagement innerhalb des Elastic-Ökosystems, sodass Sie Inferenz-Endpunkte, Modelle und Konnektoren für alle Ihre Such- und KI-Workflows an einem Ort verwalten können.

Weitere Einzelheiten finden Sie in den oben verlinkten Blogs und in den Suche & KI 9.4 Versionshinweisen.

KI-Workloads, die zunehmende Verbreitung von Kubernetes und die zunehmende Verbreitung von Microservices haben dazu geführt, dass das Volumen der Metriken von Millionen von Zeitreihenereignissen auf Hunderte von Millionen angestiegen ist. SREs müssen heute mehr Signale mit hoher Kardinalität, mehr Dienste und mehr kurzlebige Infrastrukturen als je zuvor miteinander in Zusammenhang bringen – und das in immer kürzerer Zeit. Die derzeitigen Tools verschlimmern die Situation noch: Bei Datadog treiben benutzerdefinierte Metriken die Kosten im Durchschnitt um bis zu 52 % in die Höhe, sodass Teams Labels mit hoher Kardinalität entfernen, um das Budget einzuhalten, und dann mitten im Vorfall genau nach diesen Labels suchen müssen. Bei Prometheus und Grafana beeinträchtigt die Kardinalität nach wie vor die Leistung, Protokolle und Metriken werden in getrennten Backends gespeichert, und die Korrelation eines einzelnen Zeitstempels erfordert den Wechsel zwischen zwei Abfragesprachen. So oder so stehen die Teams genau im falschen Moment vor einer unübersichtlichen Situation.

Elastic Observability 9.4 bringt Metriken auf denselben Standard, auf den sich Teams bereits bei Protokollen verlassen. Elasticsearch ist mittlerweile die schnellste Plattform für deren Ausführung: 25-mal schneller als Prometheus, 2,6-mal speichereffizienter und weniger als 50 % so teuer wie Datadog – ohne Kardinalitätsbeschränkungen und ohne Abzüge für benutzerdefinierte Metriken. Dank der nativen PromQL-Unterstützung in Kibana funktionieren bestehende Abfragen, Dashboards und Alarmregeln ohne Änderungen.

Mit Version 9.4 werden zudem die ersten Funktionen zur agentenbasierten Untersuchung in Elastic Observability eingeführt. Kubernetes ist Vorreiter mit einem KI-gesteuerten Workflow, der SREs dabei unterstützt, die Ursache eines Problems zu ermitteln, noch bevor sie ein Dashboard öffnen.

Agent Skills sind Open Source-Pakete, die Ihrem KI-Codierungsagenten native Elastic Observability-Expertise verleihen, sodass er echte Observability-Workflows innerhalb von Elastic ausführen kann. Diese Version umfasst fünf Kern-Workflows, die SREs und Entwickler täglich ausführen:

• Anwendungen mit OpenTelemetry instrumentieren

• Suchprotokolle

• SLOs verwalten

• Servicestatus bewerten

• Überwachen Sie LLM-Anwendungen

Diese Aufgaben erfordern Kenntnisse über bestimmte APIs, Indexmuster und Kibana-Workflows. Für Fachwissen, das leicht falsch verstanden werden kann und dessen Wiederholung in jedem Service und jeder Umgebung zeitaufwändig ist, bündelt Agent Skills dieses Wissen in wiederverwendbaren Einheiten für eine konsistente und präzise Ausführung.

Darüber hinaus finden Sie alle Skill-Pakete im Agent Skills-Repository und können noch heute mit dem Erstellen beginnen.

Und falls Sie es verpasst haben: Der verwaltete OTLP-Endpoint ist jetzt allgemein auf Elastic Cloud Hosted verfügbar und bietet Teams eine einfache Möglichkeit, OpenTelemetry-Daten – Log, Metriken und Traces – direkt an Elastic zu senden. Für die grundlegende Datenerfassung müssen keine Collector-Instanzen bereitgestellt oder betrieben werden, was den Verwaltungsaufwand reduziert. Dies senkt die Hürden bei der Einführung von OpenTelemetry, beschleunigt die Datenerfassung und senkt die Wartungskosten einer selbstverwalteten Collector-Ebene.

Weitere Details finden Sie in den oben verlinkten Blogs und in den Versionshinweisen zu Elastic Observability 9.4.

Elastic 9.4 verbessert die Sicherheit in fünf Dimensionen: native Workflow-Automatisierung, die ein eigenständiges SOAR-Tool überflüssig macht; Datenmanagement- und Compliance-Funktionen, die diese Automatisierung vertrauenswürdig machen; speziell entwickelte KI-Agentenfähigkeiten, die mehrstufige SOC-Intelligenz für die Triage von Alarmen, die Suche und die Untersuchung bieten; ein neuer Ansatz für die Entitätsanalyse, der Identitätsrauschen auf Architekturebene auflöst; und eine erweiterte Endpunkt-Forensik-Tiefe für Untersuchungs- und Reaktionsteams.

Aufbauend auf den Neuigkeiten von Elastic Workflows ist Automatisierung nur dann vertrauenswürdig, wenn die zugrundeliegenden Daten vollständig sind und der Zugriff ordnungsgemäß geregelt ist. Elastic 9.4 löst beide Probleme durch:

• Granulare Erkennungs- und Alarmberechtigungen, jetzt allgemein verfügbar, ermöglicht es Sicherheitsteams, separate Zugriffskontrollen für Erkennungsregeln und Alarme zu konfigurieren und sicherzustellen, dass Junior-Analysten Alarme priorisieren und aktualisieren können, ohne die Kernlogik der Erkennungsregeln zu ändern.

• SIEM Readiness: Visibility Health and Data Coverage, verfügbar als technische Vorschau, bietet eine zentrale, kontinuierlich aktualisierte Zustandsübersicht innerhalb von Elastic Security. Die Lösung bewertet Abdeckung, Qualität, Kontinuität und Aufbewahrung in fünf Log-Kategorien (Endpoint, Identität, Netzwerk, Cloud und Anwendung/SaaS), sodass Teams jederzeit wissen, ob ihre Daten für aktive Erkennungen geeignet sind.

Elastic 9.4 führt fünf zweckgebundene Fähigkeiten für den Elastic AI Agent ein und bietet ihm umfassendes Fachwissen für die wichtigsten SOC-Workflows: Alarm-Triage, Erstellung von Erkennungsregeln, Untersuchung von Entitäten, Threat Hunting und Anomalieanalyse. Neben den sicherheitsspezifischen Skills stehen dem Elastic AI Agent auch zwei Plattform-Skills zur Verfügung: Dashboard-Verwaltung und Grafikerstellung. Die Erstellung von Workflows wird in Version 9.4 als experimentelle Funktion bereitgestellt. Der Elastic AI Agent kann mehrere Skills nacheinander aufrufen und so innerhalb einer einzigen Untersuchung von der Bedrohungssuche über die Optimierung der Erkennung bis hin zur Erstellung von Workflows wechseln. Weitere Sicherheits-Skills befinden sich in der Entwicklung, darunter Erkennungsemulation, Binäranalyse und Alarmdeduplizierung.

Elastic 9.4 löst Identitätsrauschen auf Datenmodellebene mit Entitätsanalysen – nicht mit mehr Dashboards, sondern mit vier neuen allgemein verfügbaren Funktionen, die Analysten einen maßgeblichen Datensatz pro Person mit aggregierten Risiken und Kontext bieten:

• Precision Entity Identification vereint unterschiedliche Logs in hochzuverlässige, verifizierte Identitätsprofile für Benutzer, Hosts und Dienste, die automatisch auf Plattformebene und nicht durch den Analysten gesteuert werden.

• Entity Resolution konsolidiert fragmentierte digitale Konten – Okta, Entra, Active Directory – zu einem einheitlichen Datensatz pro Mitarbeiter.

• Dynamic Watchlists injizieren Risikobewertungsmultiplikatoren für hochrangige Entitäten – Führungskräfte, privilegierte Administratoren, Nutzer in Kündigungsfristen oder jede andere „Kronjuwel“-Bezeichnung, die Ihr Team definiert, wodurch der organisatorische Kontext zu einem erstklassigen Eingang für die Risikobewertung wird.

• Mit Entity-Driven Hunting Leads wird die Jagd von reaktiv auf proaktiv umgestellt, indem risikobasierte Leads auftauchen, die auf die tatsächlichen Verhaltensmuster Ihrer Umgebung zugeschnitten sind und einen erzählerischen Kontext aufweisen, und nicht ein leeres Blatt.

Elastic 9.4 erweitert die Tiefe und Reichweite der Endpoint-Untersuchung von entfernter Skriptausführung über plattformübergreifende Speicherforensik bis hin zu neu gestalteten Osquery-Workflows durch vier neue, allgemein verfügbare Funktionen:

• Die Runscript-Response-Action- und Script-Library ermöglicht es Analyst:innen, Skripte remote auf Endpunkten direkt von der Response Console aus oder als automatisierte Regelaktion auszuführen, die auf einer zentralen Bibliothek wiederverwendbarer, standardisierter Skripte basiert. Dies ermöglicht eine konsistente Behebung von Problemen, eine benutzerdefinierte forensische Triage und Operationen im MSSP-Maßstab.

• Memory Dump Response Action for Linux erweitert plattformübergreifende Speicherforensik auf Linux und ermöglicht die Erfassung von Prozessspeicher aller gängigen Betriebssysteme aus Elastic Security heraus ohne externe Tools für dateilose Malware, speicherresidente Angriffe und Laufzeitartefaktextraktion.

• Die Verbesserungen von Osquery bieten ein komplett neu gestaltetes Benutzererlebnis mit einer einheitlichen Verlaufsseite, optimierten Ergebnisansichten sowie erweiterten Such- und Filterfunktionen. Dadurch werden Usability-Lücken geschlossen und die Effizienz der Analysten im großen Maßstab gesteigert.

• Die Jumplists-Osquery-Tabellenerweiterung und die Forensic Query Packs bieten vorgefertigte Abfragen, die auf Browserverlauf, Amcache und Jumplists abzielen und Teams sofort einsatzbereite forensische Artefakte zur Verfügung stellen, um die Zeitabläufe der Nutzeraktivitäten und das Verhalten von Angreifern zu rekonstruieren.

Weitere Details zu diesen Features finden Sie in den Versionshinweisen zu Elastic Security 9.4.

Zwischen den Veröffentlichungen passiert bei Elastic viel, und der Zeitraum zwischen Elastic 9.3 und Elastic 9.4 bildete da keine Ausnahme. Für Leser, die möglicherweise einige der wichtigen Neuigkeiten verpasst haben, hier ist eine kurze Liste von Dingen, die Sie wissen und lesen sollten:

• Elastic AutoOps ist jetzt kostenlos! Elastic AutoOps bringt Diagnosen und operative Einblicke direkt in Ihre Umgebung und verändert die Art und Weise, wie Sie Elasticsearch verwalten – jetzt ohne zusätzliche Kosten.

• Die projektübergreifende Suche ist jetzt als technische Vorschau verfügbar. Fragen Sie gleichzeitig mehrere Elastic Cloud Serverless-Projekte über eine einzige Schnittstelle ab, ohne die Isolation auf Projektebene oder Sicherheitsgrenzen zu beeinträchtigen.

• Vereinheitlichte API-Schlüssel für Elastic Cloud Serverless und Elasticsearch sind jetzt verfügbar. Verwenden Sie einen API-Schlüssel, um sowohl Infrastruktur als auch Datenabfragen über Projekte hinweg mit feingranulären Berechtigungskontrollen zu verwalten.

• Neue Hardwareprofile auf Arm-Basis bieten ein besseres Preis-Leistungs-Verhältnis – bis zu 40 % besser bei speicheroptimierten Workloads mit Graviton4 und bis zu 25 % besser bei CPU-intensiven Workloads mit Axion.

• Die Expansion von Elastic Cloud Serverless geht weiter: Mit den jüngsten Neuerungen in Azure, AWS und Google Cloud ist Elastic Cloud Serverless nun in 29 Regionen weltweit verfügbar.

Mit einer Fülle wirkungsvoller, neuer und verbesserter Plattformfunktionen wie Agent Builder und Workflows, bedeutenden Fortschritten bei unseren Zeitreihenfunktionen und vielem mehr, ist Elastic 9.4 bereit, Sie und Ihr Unternehmen dabei zu unterstützen, Daten in Antworten, Aktionen und Ergebnisse umzuwandeln.

Also ... Worauf warten Sie? Elastic 9.4 ist jetzt auf Elastic Cloud verfügbar – dem gehosteten Elasticsearch Service, der alle neuen Features dieser neuesten Version enthält.