Elastic 9.4: Workflows GA, Agent Builder 업데이트, Prometheus/PromQL 지원

Elastic 9.4는 자동화 및 오케스트레이션, 쿼리 언어의 표현력, AI 네이티브 분석가 경험, 그리고 엔터프라이즈 배포에 필요한 거버넌스 및 규정 준수 인프라 등 네 가지 측면에서 더욱 향상된 기능을 갖춘 Elasticsearch 플랫폼을 제공합니다.  

Elastic Workflows가 이제 정식으로 출시되었습니다. Workflows는 Elastic을 더 넓은 운영 세계와 연결하는 자동화 및 오케스트레이션 계층입니다. 팀이 외부 시스템에서 작업을 트리거하고, 다단계 프로세스를 조정하고, 플랫폼의 탐지와 실제 실행을 연결하도록 지원합니다. Agent Builder로 구축하는 팀에게 Workflows는 자연스럽게 선택하게 되는 동반자입니다. Agent Builder는 에이전트의 지식과 추론 범위를 정의하고, Workflows는 에이전트가 행동할 때 수행하는 작업을 정의합니다.

Elastic의 대표적인 파이프 쿼리 언어인 ES|QL은 9.4에서 계속 발전하고 있으며, 기술 미리보기로 제공되는 다섯 가지 새로운 기능이 추가되었습니다.

• 서브쿼리: 분석가는 여러 개의 독립적인 파이프라인을 단일 명령문에서 실행하고 결합할 수 있으므로 여러 쿼리의 결과를 수동으로 합칠 필요가 없습니다.

• 근사 쿼리: 집계 정밀도를 약간 낮추면서 신뢰도 신호를 사용해 대규모 데이터 세트에 대한 응답 시간을 획기적으로 단축하므로, 분석가가 항상 결과를 어느 정도 신뢰할 수 있는지 파악할 수 있습니다.

• 논리적 뷰: 팀이 복잡한 쿼리 로직을 한 번만 정의한 후, 대시보드, 경보 및 임시 쿼리 전반에서 명명된 데이터 소스로 재사용할 수 있습니다.

• JSON 함수 추출: 표준 경로 표기법을 사용하여 모든 JSON 매핑 필드 또는 원시 소스 문서에서 특정 요소를 추출합니다. 재인덱싱이나 파이프라인 변경이 필요하지 않습니다.

• 모든 수집된 필드 액세스: "무지의 절벽"이 사라집니다. 매핑 시점에 놓친 필드가 영구적으로 액세스 불가능한 상태로 유지되지 않으므로, 팀이 수집한 모든 대상에 대해 완전한 쿼리 지원 범위가 확보됩니다.

ES|QL의 새로운 기능에 대해 자세히 알아보세요.

Elastic 9.4를 통해 Kibana는 점점 더 AI 네이티브가 되어가고 있습니다. AI 기반 대시보드 생성(기술 미리보기)을 통해 분석가가 확인하고자 하는 내용을 자연어로 설명하면 Kibana가 수동 구성 없이 대화를 통해 반복적으로 빌드합니다. 또한, 코드 형태의 대시보드(기술 미리보기)는 플랫폼 팀에 보완적인 대기보드 기능을 제공합니다. 이는 CI/CD 파이프라인을 통해 배포된 버전 제어 및 코드 검토가 가능한 자산으로 관리되며, 취약한(그리고 지금은 "구식"이 됨) 저장 객체 내보내기/가져오기 워크플로우를 완전히 대체합니다. 이러한 새로운 기능들은 보다 지능적이고 협업적인 작업 공간을 향한 Kibana의 지속적인 진화를 보여줍니다.  

Elastic 9.4는 플랫폼을 건강하고 감사 가능하며 안전한 상태로 유지할 책임이 있는 운영자와 규정 준수 팀을 위해 의미 있는 발전된 기능을 제공합니다. 주목할 만한 개선 사항은 다음과 같으며 모두 정식 출시되었습니다.

• Kibana 쿼리 활동: 관리자에게 모든 장기 실행 쿼리를 출처와 함께 즉시 파악할 수 있는 가시성을 제공하며 클릭 한 번으로 취소할 수 있는 기능도 제공합니다.

• 검색 분석 로그: 감사 추적을 DSL, ES|QL, EQL, SQL의 모든 쿼리로 확장하며 지연 시간, 요청 출처, 전체 쿼리 본문을 구성 없이 캡처합니다.

• Kibana 커넥터의 사용자별 인증: 공유 서비스 계정 자격 증명을 개별 사용자 ID로 대체하여 규정 준수 팀에 통합 전반에 걸쳐 정확하고 신뢰할 수 있는 감사 추적을 제공합니다.

• FIPS 140-3 규정 준수 기능: Elasticsearch와 Kibana 모두에서 이제 정식으로 제공되며, 2026년 9월 마감일 이전에 깔끔한 업그레이드 경로를 통해 데이터 마이그레이션 없이 전체 스택을 지원합니다.

자세한 내용은 위에 링크된 블로그와 Elasticsearch Platform 9.4 릴리즈 노트에서 확인하실 수 있습니다.

Elastic 9.4는 Elasticsearch로 AI 에이전트를 구축하는 개발자에게 프로덕션에서 요구되는 역량을 더 많이 제공합니다. 에이전트의 지식 범위와 행동 방식을 더 정교하게 제어하고, 성능을 더 깊이 있게 가시화하며, 그 기반이 되는 벡터 워크로드의 비용 효율성을 개선합니다.

Elastic의 최고 벡터 인덱싱 및 검색 알고리즘인 DiskBBQ가 Elasticsearch 9.4에서 개선되었습니다. 여러 개선 사항이 있지만 그중 제한 필터가 적용된 쿼리의 경우 쿼리 지연 시간이 최소 3배 이상 단축되었고, 벡터 비교 성능도 향상되었습니다(이는 네이티브 코드의 광범위한 사용 덕분입니다). 이는 인덱싱과 검색 모두에 긍정적인 영향을 미칩니다. 또한, 이제 BBQ를 사용하여 2비트, 4비트, 7비트 요소로 구성된 벡터로 정량화할 수 있어, 단일 비트로는 부족했던 재현율을 더 높일 수 있습니다. 이러한 업데이트는 프로덕션 환경의 AI 워크로드에서 속도와 비용 효율성의 최적 균형을 보장하는 데 도움이 됩니다.

GPU 가속 벡터 인덱싱은 Elastic 9.3에서 기술 미리보기로 출시된 후 이제 정식 버전으로 제공됩니다. GPU 가속 벡터 검색 및 데이터 클러스터링을 위한 오픈 소스 라이브러리인 NVIDIA cuVS를 Elasticsearch에 통합함으로써, 자체 관리형 Elastic 고객은 인덱싱 처리량이 최대 12배 향상되고 강제 병합 속도가 7배 빨라질 것으로 기대할 수 있습니다.

Cursor, Claude Code, Kibana에서 아이디어부터 실제 검색 구현에 이르기까지 개발자의 모든 과정을 새로운 대화형 어시스턴트가 안내합니다. 무엇을 구축하고 있는지 묻고, 데이터를 이해하고, 올바른 접근 방식을 추천하고, 매핑과 인덱싱 작업을 안내하고, 작동하는 구현을 생성하는 등 모든 단계에서 Elasticsearch 개념을 능동적으로 실현합니다. 첫 번째 검색 애플리케이션을 구축하거나 새로운 사용 사례를 프로토타이핑하는 팀은 몇 시간 동안 문서를 읽을 필요없이 몇 분 만에 안내에 따라 구축할 수 있습니다.

새로운 LLM 모델을 이제 스택 릴리즈 간의 커넥터로 사용할 수 있습니다. 이와 함께 Elastic 9.4는 Elastic 생태계 내에서 권한 있는 단일 추론 관리 경험을 확립하여, 모든 검색 및 AI 워크플로우에 걸쳐 추론 엔드포인트, 모델 및 커넥터를 한 곳에서 관리할 수 있도록 지원합니다.

위에 링크된 블로그와 Search & AI 9.4 릴리즈 노트에서 더 자세한 내용을 확인하세요.

AI 워크로드, Kubernetes 확산, 마이크로서비스 증가로 인해 메트릭 규모에서 시계열 이벤트 수가 수백만 건에서 수억 건으로 급증했습니다. SRE들은 이제 그 어느 때보다 더 많은 고카디널리티 신호, 더 많은 서비스, 그리고 더 많은 임시 인프라 전반에 걸쳐 상관관계를 파악해야 하지만, 이를 수행할 시간은 더욱 부족해졌습니다. 기존 도구는 상황을 악화시킵니다. Datadog에서는 맞춤형 메트릭으로 인해 평균 52%의 비용 증가가 발생합니다. 따라서 관련 팀은 예산을 절약하기 위해 고카디널리티 레이블을 제거한 후 인시던트 중에 정확한 해당 레이블을 찾아야 합니다. Prometheus와 Grafana에서 카디널리티는 여전히 성능을 저하시키고, 로그와 메트릭은 별도의 백엔드에 존재하며, 단일 타임스탬프의 상관 관계를 분석하기 위해서는 두 가지 쿼리 언어 간에 전환이 필요합니다. 어떤 방법을 사용하든 팀은 잘못된 순간에 판단력을 잃게 됩니다.

Elastic Observability 9.4는 팀이 기존에 로그에 사용 중인 표준과 동일한 수준으로 메트릭을 향상시킵니다. Elasticsearch는 가장 빠른 실행이 가능한 기반입니다. Prometheus보다 25배 빠르고 2.6배 더 효율적이며, 카디널리티 제한이나 맞춤형 메트릭 페널티 없이 Datadog 비용의 50% 미만으로 실행할 수 있습니다. Kibana의 네이티브 PromQL 지원을 통해 기존 쿼리, 대시보드 및 경보 규칙이 수정 없이 작동합니다.

9.4에서는 Elastic Observability에 처음으로 에이전틱 조사 기능이 도입되었습니다. Kubernetes는 대시보드를 열기도 전에 SRE가 근본 원인을 식별할 수 있도록 돕는 AI 기반 워크플로우를 최초로 제공합니다.

에이전트 스킬은 Elastic 내에서 실제 통합 가시성 워크플로우를 실행할 수 있도록 AI 코딩 에이전트에 네이티브 Elastic Observability 전문 지식을 제공하는 오픈 소스 패키지입니다. 이번 릴리즈는 SRE와 개발자가 매일 실행하는 5가지 핵심 워크플로우를 포함합니다.

• OpenTelemetry를 사용하여 애플리케이션 계측

• 로그 검색

• SLO를 관리하십시오

• 서비스 상태를 평가하십시오

• LLM 애플리케이션 모니터링

이러한 작업을 수행하려면 특정 API, 인덱스 패턴, Kibana 워크플로우에 익숙해야 합니다. 도메인 지식은 오해하기 쉽고 모든 서비스와 환경에서 반복하려면 시간이 많이 소요되므로, 에이전트 스킬은 해당 지식을 재사용 가능한 단위로 구성하여 일관되고 정확한 실행을 지원합니다.

또한 오늘부터 모든 스킬 패키지를 에이전트 스킬 저장소에서 확인하고 구축할 수 있습니다.

놓치신 분들을 위해 말씀드리면, 이제 관리형 OTLP 엔드포인트를 Elastic Cloud Hosted에서 정식 버전으로 사용할 수 있습니다. 따라서 팀은 OpenTelemetry 데이터(로그, 메트릭, 추적)를 Elastic으로 직접 전송하는 간단한 경로를 확보할 수 있습니다. 기본 수집을 위해 수집기를 배포하거나 운영할 필요가 없어 관리 오버헤드가 감소합니다. 이를 통해 OpenTelemetry 채택에 따른 마찰이 감소하고, 데이터 온보딩 속도가 향상되며, 자체 관리형 수집기 계층의 유지 관리 비용이 절감됩니다.

자세한 내용은 위에 링크된 블로그와 Elastic Observability 9.4 릴리즈 노트에서 확인하실 수 있습니다.

Elastic 9.4는 5가지 측면에서 보안을 강화합니다. 네이티브 워크플로우 자동화(독립형 SOAR 도구 불필요), 데이터 관리 및 규정 준수 기능(자동화의 신뢰성 확보), 목적 특화형 AI 에이전트 스킬(경보 분류, 헌팅, 조사에 다단계 SOC 인텔리전스 제공), 엔티티 분석의 새로운 접근 방식(아키텍처 수준에서 ID 노이즈 해결), 그리고 확장된 엔드포인트 포렌식 역량(조사 및 응답 팀 대상)이 여기에 해당합니다.

Elastic Workflows 소식에 따르면, 자동화는 기본 데이터가 완전하고 액세스가 적절하게 관리될 때만 신뢰할 수 있습니다. Elastic 9.4는 다음을 통해 두 가지 문제를 모두 해결합니다.

• 세분화된 탐지 및 경보 권한: 이제 정식으로 제공되며, 보안 팀이 탐지 규칙과 경보에 대해 각각 별도의 액세스 제어를 구성할 수 있습니다. 이를 통해 주니어 분석가는 핵심 탐지 규칙 로직을 수정하지 않고도 경보를 분류하고 업데이트할 수 있습니다.

• SIEM 준비 상태: 기술 미리보기로 제공되는 가시성 상태 및 데이터 범위는 Elastic Security 내에서 중앙 집중식으로 지속적으로 업데이트되는 상태 보기를 제공합니다. 5개의 로그 범주(엔드포인트, ID, 네트워크, 클라우드, 애플리케이션/SaaS)에 걸쳐 적용 범위, 품질, 연속성, 보존을 평가하므로 팀은 데이터가 활성 탐색을 지원하기에 적합한 형태인지 여부를 항상 파악할 수 있습니다.

Elastic 9.4는 Elastic AI 에이전트에 5가지 특수 목적 스킬을 도입하여 경보 분류, 탐지 규칙 작성, 엔티티 조사, 위협 헌팅, 이상 징후 분석 등 가장 중요한 SOC 워크플로우 전반에 걸쳐 심층적인 도메인 전문성을 제공합니다. 대시보드 관리와 그래프 생성이라는 두 가지 플랫폼 스킬도 보안에 특화된 스킬과 함께 Elastic AI 에이전트에서 사용할 수 있습니다. 워크플로우 저작은 9.4에서 실험적 기능으로 제공됩니다. Elastic AI 에이전트는 단일 조사 내에서 위협 헌팅부터 탐지 조정, 워크플로우 생성까지 여러 스킬을 순차적으로 호출할 수 있습니다. 탐지 에뮬레이션, 이진 분석, 경보 중복 제거를 포함해 더 많은 보안 스킬이 개발 중입니다.

Elastic 9.4는 데이터 모델 수준에서 엔티티 분석을 통해 ID 노이즈를 해결합니다. 그 방법은 더 많은 대시보드가 아니라, 집계된 위험과 컨텍스트가 포함된 1인당 하나의 권한 있는 기록을 분석가에게 제공하는 네 가지 새로운 정식 기능입니다.

• 정밀 엔티티 식별: 서로 다른 로그를 통합해 사용자, 호스트 및 서비스에 대한 높은 신뢰도의 검증된 ID 프로필로 정규화하며, 분석가가 아니라 플랫폼 수준에서 자동으로 관리됩니다.

• Entity Resolution: Okta, Entra, Active Directory 등 파편화된 디지털 계정을 직원별로 하나의 통합된 기록으로 통합합니다.

• 동적 감시 목록: 임원, 권한 있는 관리자, 퇴사 통보 기간 중인 사용자 또는 팀에서 정의한 “핵심 자산”과 같은 고가치 요소에 위험 점수 배율을 적용하여 조직의 맥락을 위험 점수 계산의 핵심 요소로 활용합니다.

• 엔티티 기반 헌팅 리드: 환경의 실제 행동 패턴에 맞춘 위험 기반 리드를 빈 페이지가 아닌 내러티브 맥락과 함께 제시함으로써 헌팅을 사후 방식에서 선제적 방식으로 전환합니다.

Elastic 9.4는 정식 출시된 네 가지 새로운 기능을 통해 원격 스크립트 실행에서 크로스 플랫폼 메모리 포렌식 및 재설계된 Osquery 워크플로우로 엔드포인트 조사의 깊이와 범위를 확장합니다.

• Runscript 응답 작업 및 스크립트 라이브러리: 분석가가 응답 콘솔을 통해 직접 엔드포인트에서 원격으로 스크립트를 실행하거나, 재사용 가능하고 표준화된 스크립트로 구성된 중앙 라이브러리를 이용해 자동화된 규칙 작업으로 스크립트를 실행할 수 있어 일관된 문제 해결, 사용자 지정 포렌식 분류 및 MSSP 규모 운영이 가능합니다.

• Linux용 메모리 덤프 응답 작업: 크로스 플랫폼 메모리 포렌식을 Linux로 확장하여, Elastic Security 내에서 주요 운영 체제의 프로세스 메모리를 획득할 수 있으며, 파일리스 맬웨어, 메모리 상주 공격 및 런타임 아티팩트 추출을 위해 외부 도구가 필요하지 않습니다.

• Osquery 개선 사항: 통합 기록 페이지, 향상된 결과 보기, 고급 검색 및 필터링, 사용성 격차 해소, 대규모 분석가 효율성 향상으로 완전히 새롭게 설계된 경험을 제공합니다.

• Jumplist Osquery 테이블 확장 및 포렌식 쿼리 팩: 브라우저 기록, Amcache, Jumplist를 대상으로 사전 구축된 쿼리를 제공하므로, 팀이 사용자 활동 타임라인과 공격자 행동을 재구성하기 위해 즉시 실행 가능한 포렌식 아티팩트를 확보할 수 있습니다.

이러한 기능에 대한 자세한 내용은 Elastic Security 9.4 릴리즈 노트에서 확인하실 수 있습니다.

Elastic에서는 릴리즈 사이에 많은 일이 발생합니다. Elastic 9.3과 Elastic 9.4 사이의 기간도 예외는 아니었습니다. 중요한 뉴스를 놓쳤을 수도 있는 독자들을 위해, 주요 소식을 간략히 정리했습니다.

• Elastic AutoOps가 이제 무료입니다! Elastic AutoOps는 진단 및 운영 인사이트를 환경에 직접 제공하여 추가 비용 없이 Elasticsearch를 관리하는 방식을 혁신합니다.

• 이제 프로젝트 간 검색이 기술 미리보기로 제공됩니다. 프로젝트 수준의 격리나 보안 경계를 무너뜨리지 않고 단일 인터페이스에서 여러 Elastic Cloud Serverless 프로젝트를 동시에 쿼리할 수 있습니다.

• Elastic Cloud Serverless와 Elasticsearch용 통합 API 키가 제공됩니다. 하나의 API 키를 사용해 프로젝트 간 인프라와 데이터 쿼리를 모두 관리하며, 세밀한 권한 통제를 유지할 수 있습니다.

• 새로운 ARM 기반 하드웨어 프로파일은 더 나은 가격 대비 성능을 제공합니다. Graviton4를 사용하면 저장 공간 최적화 워크로드에서 최대 40% 향상되며, Axion을 사용하면 CPU 집약적 워크로드에서 최대 25% 향상됩니다.

• Elastic Cloud Serverless 확장이 계속됩니다. 최근 Azure, AWS, Google Cloud에 추가됨에 따라 이제 Elastic Cloud Serverless를 전 세계 29개 지역에서 사용할 수 있습니다.

Agent Builder 및 Workflows와 같은 영향력 있고 새롭고 향상된 플랫폼 기능, 시계열 기능의 중요한 발전, 기타 여러 기능을 통해 Elastic 9.4는 조직이 데이터를 기반으로 해답, 행동, 결과를 도출할 수 있도록 지원할 준비가 되어 있습니다.

더 이상 지체할 이유가 없습니다. 이번 최신 릴리즈의 새로운 기능이 모두 포함된 호스팅형 Elasticsearch 서비스인 Elastic Cloud에서 지금 Elastic 9.4를 이용할 수 있습니다.