Elastic 9.4：Workflows 正式发布、Agent Builder 更新，以及 Prometheus / PromQL 支持

Elastic 中国社区官方博客

451人浏览 · 2026-05-06 10:34:39

Elastic 中国社区官方博客 · 2026-05-06 10:34:39 发布

作者：来自 Elastic Dan Courcy

今天，我们很高兴宣布 Elastic 9.4 正式发布，这是 Elasticsearch Platform 的最新版本。除了包含帮助开发者进行上下文工程（context engineering）、应用与基础设施监控以及 AI 驱动的安全运营的新功能之外，Elastic 9.4 还在 Elastic Search & AI、Elastic Observability 和 Elastic Security 中引入了一系列广泛的新能力。

那么，Elastic 9.4 有哪些新内容？

Elastic 9.4 代表了 Elasticsearch 平台未来的发展方向。在本次发布的核心，是 Elastic 在 AI 的上下文与检索层角色上的重大进展，这一主线贯穿以下所有重点更新：

Elastic Agent Builder 已扩展出一组新的原语（primitives），用于优化上下文管理，控制 agent 如何获取上下文、如何高效使用上下文，以及如何基于上下文执行操作。在 Elastic 9.4 中，Agent Builder 新增对 Skills、Attachments、Connectors 和 Plugins 的支持。
原生 Prometheus 和 PromQL 支持，加上 Elasticsearch TSDB 在效率上的显著提升（比 Prometheus 高出 2.6 倍），以及 time-series ES|QL 的正式发布，使 Elastic Observability 成为 Prometheus 和 Grafana 的有力替代方案。这些一流的指标能力建立在 15 年日志分析领导力之上，形成统一的日志与指标平台，加速问题定位与解决。
Elastic Workflows 现已正式发布。它结合了脚本化自动化与 agentic 推理，使 AI agent 能够基于分析结果采取行动。对于 Elastic Security 用户而言，Workflows 将原生自动化直接引入 Elastic Security，在安全数据所在的位置自动完成分诊、富化、响应和案例管理。
Elastic Security 在 9.4 中还提供了四项新的实体分析能力：精确实体识别（Precision Entity Identification）、实体解析（Entity Resolution）、动态观察列表（Dynamic Watchlists）以及实体驱动的狩猎线索（Entity-Driven Hunting Leads）。这些能力共同为分析师提供每个“人”的统一权威视图——包含聚合风险、组织上下文以及主动狩猎线索，同时也为基于安全数据推理的 AI agent 提供更准确的上下文基础。
Elasticsearch 平台还带来了四项额外进展：DiskBBQ（Elasticsearch 最优向量索引与检索算法）性能升级；由 NVIDIA cuVS 支持的 GPU 加速向量索引进入 GA（索引吞吐提升最高达 12 倍）；ES|QL 现在可以查询、过滤和聚合所有已摄取字段，即使没有显式 mapping；同时 Elasticsearch 与 Kibana 实现全栈 FIPS 140-3 合规。

更多细节与各个解决方案的亮点请见下方内容。

Elasticsearch 平台

Elastic 9.4 在四个维度上显著增强了 Elasticsearch Platform 的能力：自动化与编排、查询语言表达能力、AI 原生分析体验，以及企业级部署所需的治理与合规基础设施。

自动化与编排

Elastic Workflows 现已正式发布。Workflows 是自动化与编排层，用于将 Elastic 与更广泛的运维世界连接起来，使团队能够触发外部系统中的操作、协调多步骤流程，并闭环 “平台检测到什么” 与 “实际采取什么行动” 之间的关系。使用 Agent Builder 构建的团队会发现 Workflows 是其天然补充：Agent Builder 定义 agent 知道什么、能够推理什么；Workflows 定义 agent 在行动时实际做什么。

ES|QL → 一流查询语言

ES|QL（Elastic 的高级管道式查询语言）在 9.4 中持续演进，新增五项能力（均为技术预览）：

子查询（Subqueries）允许分析师在单条语句中运行并组合独立管道，无需手动拼接多个查询结果。
近似查询（Approximate Queries）在保证置信度信号的前提下，用少量精度损失换取大规模数据上的显著性能提升，让分析师始终知道结果可信度。
逻辑视图（Logical Views）允许一次定义复杂查询逻辑，并在仪表板、告警和临时查询中作为命名数据源复用。
JSON 函数提取（JSON Function Extraction）可使用标准路径语法从任何 JSON 字段或 _source 文档中提取数据，无需重建索引或修改 pipeline。
访问所有已摄取字段（Access to All Ingested Fields）消除了 “未知字段不可查询” 的限制，即使在 mapping 时遗漏的字段也可以被查询，从而实现对已摄取数据的完整覆盖。

AI 原生 Kibana

在 Elastic 9.4 中，Kibana 正在变得更加 AI 原生。AI 驱动仪表板创建（技术预览）允许分析师用自然语言描述需求，Kibana 会以对话方式逐步构建仪表板，无需手动配置。同时，Dashboard as Code（技术预览）为平台团队提供了互补能力：将仪表板作为版本控制、可代码评审的资产，通过 CI/CD 管道部署，取代传统脆弱的 saved-object 导入导出流程。这两项能力共同推动 Kibana 向更智能、更协作的工作空间演进。

稳定可靠运行（Operate with confidence）

Elastic 9.4 还为平台运维与合规团队带来了重要增强（全部为正式发布）：

Kibana 查询活动（Query activity）提供对所有长时间运行查询的实时可见性，包括来源信息，并支持一键取消。
搜索分析日志（Search Analytics Logs）将审计范围扩展到 DSL、ES|QL、EQL 和 SQL 的所有查询，记录延迟、请求来源和完整查询内容，无需额外配置。
Kibana 连接器的按用户认证（Per-user authentication）用个人身份替代共享服务账号，提供更准确可信的审计轨迹。
FIPS 140-3 合规（现已正式发布）为 Elasticsearch 和 Kibana 提供全栈支持，在 2026 年 9 月截止日前实现合规，并提供无数据迁移的升级路径。

更多细节请参见上述博客及 Elasticsearch Platform 9.4 发布说明。

Search & AI

Elastic 9.4 为使用 Elasticsearch 构建 AI agent 的开发者提供了生产环境所需的更多能力：对 agent 所知内容以及其行为方式的更精细控制、对其性能的更深入可见性，以及对其底层向量工作负载更优的成本效率。

https://www.bilibili.com/video/BV1E8RpBYEKe/

Agent Builder 增强

在 Elastic 9.4 中，Agent Builder 被扩展为一组相互关联的能力与增强，用于优化上下文管理，控制 agent 如何获取上下文、如何高效使用上下文，以及如何基于上下文采取行动。新增能力包括：

Skills：作为指导性模块，教会 agent 如何完成特定任务，并且仅在需要时加载。
与 Kibana 对象的对话式交互（含预览）：支持对仪表板、工作流、ES|QL 查询等进行基于聊天的创建、调整与分析。
跨 Elastic 以及 Drive、SharePoint 等连接源的语义元数据层：作为对象发现的基础设施，使 agent 能够更深入理解数据，从而优化推理能力。
改进的上下文管理能力：包括查询结果卸载（offloading）、压缩（compaction）和摘要（summarization），在长时间、多轮交互中提升性能与成本效率。

总结来说，用户现在可以构建更可靠、更低成本、性能更高的 agent。

向量数据库增强

DiskBBQ（Elastic 最优的向量索引与检索算法）在 Elasticsearch 9.4 中得到进一步优化。其中包括：在带约束过滤条件的查询中，查询延迟至少提升 3 倍；由于大量使用原生代码，向量比较性能显著提升，同时影响索引与搜索性能。此外，现在可以使用 BBQ 将向量量化为 2-bit、4-bit 和 7-bit 表示，在单 bit 精度不足时仍能提升召回率。这些改进共同帮助生产级 AI 工作负载在速度与成本之间取得更优平衡。

GPU 加速向量索引在 Elastic 9.3 作为技术预览发布，如今已正式发布。通过将 NVIDIA cuVS（用于 GPU 加速向量搜索与数据聚类的开源库）集成到 Elasticsearch，自管理 Elastic 用户可以获得最高 12 倍索引吞吐提升，以及 7 倍更快的 force merge 性能。

开发者上手助手

一个新的对话式助手可以在 Cursor、Claude Code 和 Kibana 中引导开发者从想法走到可运行的搜索实现。它会询问你要构建的内容，理解数据结构，推荐最佳方案，指导 mapping 与 indexing，并生成可运行实现，同时在每一步主动解释 Elasticsearch 概念。对于首次构建搜索应用或原型验证场景，这一能力将原本需要数小时的文档学习缩短为几分钟的引导式开发。

动态 LLM 连接器与推理管理

新的 LLM 模型现在可以作为跨版本的连接器使用。同时，Elastic 9.4 在 Elastic 生态中建立了统一权威的推理管理体验，使得在 Search & AI 工作流中可以通过一个入口管理所有 inference endpoints、模型和连接器。

更多细节请参见上述博客及 Search & AI 9.4 发布说明。

Elastic 可观测性（Elastic Observability）

AI 工作负载、Kubernetes 扩展以及微服务数量的激增，使指标（metrics）规模从数百万时间序列事件增长到数亿级别。SRE 需要在更多高基数信号、更多服务以及更多短生命周期基础设施之间进行关联分析，而可用时间却更少。现有工具反而加剧了问题：在 Datadog 中，自定义指标会将账单平均推高 52%，因此团队不得不删除高基数字段以控制成本，然后在事故发生时再去寻找这些关键字段；在 Prometheus 和 Grafana 中，基数问题仍然会影响性能，日志与指标分布在不同后端，要关联一个时间点需要在两种查询语言之间来回切换。结果就是在最关键的时刻反而失去可见性。

Elastic Observability 9.4 将指标能力提升到与日志同等的水平。Elasticsearch 现在是运行指标的最快平台：比 Prometheus 快 25 倍，存储效率提升 2.6 倍，成本低于 Datadog 的 50%，并且没有基数限制或自定义指标惩罚。Kibana 中的原生 PromQL 支持意味着现有查询、仪表板和告警规则无需修改即可运行。

9.4 还引入了 Elastic Observability 中首批 agentic 调查能力。Kubernetes 是首个支持场景，它提供 AI 驱动的工作流，帮助 SRE 在打开仪表板之前就识别根因。

借助 Elastic 9.4，将一切（甚至 metrics！）整合到 Elastic 上比以往任何时候都更容易。

一流的指标体验

Elastic 9.4 标志着在 Elasticsearch 上使用 metrics 的全新时代。更快的大规模存储能力支持生产级时间序列查询语言，以及原生 Prometheus 和 PromQL 支持。这些能力共同为 SRE 和可观测性团队提供一个统一平台来处理 logs、metrics 和 traces，无需迁移现有工具链。主要增强包括：

Elasticsearch TSDB 性能提升（现已正式发布）在存储与吞吐两方面都带来显著改进：存储效率提升 2.6 倍（相比 Prometheus），写入吞吐能力也同步增强。当与查询性能提升（相比 Prometheus 和 Mimir 提升 25 倍）结合时，用户可以在不增加相应硬件成本的情况下实现：摄入更多数据、保留更久数据，以及更快查询数据。简单来说，Elasticsearch TSDB 已经具备生产级关键可观测性工作负载能力。
原生 Prometheus 与 PromQL 支持（技术预览）允许将 Prometheus 指标直接写入 Elasticsearch，并在 Kibana 中直接执行 PromQL 查询。用户可以继续使用熟悉的查询模式，同时结合 ES|QL —— 一种统一用于 logs、metrics 和 traces 的管道式查询语言。
ES|QL 时间序列支持（正式发布）支持在大规模场景下进行时间序列分析，并扩展了聚合函数能力（如 rate、changes、cumulative、trange、clamp 等）以及完整的时间范围过滤能力。它现在成为构建监控、告警与报表工作流的完整基础，无需在不同语言或工具之间切换。

TSDB 性能提升为将 logs、metrics 和 traces 全部统一到单一平台提供了有力理由。

Agentic Kubernetes 可观测性

Elastic Observability 正在发布一种 agentic Kubernetes 可观测性体验，它可以自动从告警直接进入根因分析：

在 Kibana 中基于 Kubernetes 的 agentic 调查工作流，会在告警触发时自动运行，并在工程师打开任何仪表板之前，就返回一个结构化的根因假设（包含证据与下一步操作建议）。
一个新的 Kubernetes observability MCP 应用将 Kubernetes 专用能力直接带入 Claude、VS Code 以及其他兼容 MCP 的 AI host，同时后续还会推出更多 MCP 应用。
一组开箱即用的仪表板、SLO 和机器学习任务，可以在需要时提供额外的临时分析能力。

Agent Skills（观测性场景）

Agent Skills 是开源包，用于赋予 AI coding agent 原生的 Elastic Observability 专业能力，使其能够在 Elastic 内执行真实的可观测性工作流。本次发布覆盖 SRE 和开发者日常使用的五个核心工作流：

使用 OpenTelemetry 进行应用埋点
搜索日志
管理 SLO
评估服务健康状况
监控 LLM 应用

这些任务都依赖特定 API、索引模式以及 Kibana 工作流的知识。对于容易出错且在不同服务和环境中重复成本很高的领域知识，Agent Skills 将其封装为可复用单元，从而实现一致且准确的执行。

此外，你可以在 Agent Skills 仓库中找到所有 skill 包，并立即开始构建。

托管 OTLP endpoint（现已 GA）

同时，托管 OTLP endpoint 已在 Elastic Cloud Hosted 上正式发布，使团队能够以更简单的方式将 OpenTelemetry 数据（logs、metrics 和 traces）直接发送到 Elastic。无需部署或运维 collector 即可完成基础数据采集，从而减少管理开销，加快数据接入速度，并降低自建 collector 层的维护成本。

更多细节请参见相关博客及 Elastic Observability 9.4 发布说明。

Elastic Security

Elastic 9.4 在五个方面推进了安全能力的演进：原生工作流自动化（无需独立 SOAR 工具）、让自动化具备可信基础的数据管理与合规能力、专为 AI agent 设计的 skills（将多步骤 SOC 智能引入告警分诊、威胁狩猎与调查流程）、一种在架构层解决身份噪声的新实体分析方法，以及为调查与响应团队扩展的端点取证能力。

在 Elastic 9.4 中，Workflows 为团队提供了一种强大的方式，用于在整个环境中设计、自动化并扩展基于工作流驱动的流程。

面向 Agentic SOC 的原生自动化

Elastic Workflows 现已面向 Enterprise 客户正式发布，将原生自动化直接引入 Elastic Security（一个已经包含统一 SIEM 和 XDR 的 agentic 安全运营平台）。安全团队现在可以在所有告警、调查和案件中，对既定任务进行自动化处理——包括数据富化、分诊、响应、通知以及 case 创建——并且全部在安全数据所在的位置完成。

增强数据管理与合规能力

在 Workflows 之外，自动化只有在底层数据完整且访问治理清晰时才是可信的。Elastic 9.4 通过以下能力同时解决这两点：

细粒度检测与告警权限（正式发布）允许安全团队为检测规则与告警分别配置访问控制，使初级分析师可以处理和更新告警，而无需修改核心检测逻辑。
SIEM 准备度：可见性健康与数据覆盖（技术预览）在 Elastic Security 中提供统一的持续健康视图，评估覆盖率、质量、连续性与保留情况，覆盖 Endpoint、Identity、Network、Cloud 以及 Application/SaaS 五类日志数据，从而确保数据状态足以支撑检测系统运行。

Security 的 Agent Skills

Elastic 9.4 为 Elastic AI Agent 引入五个面向安全场景的专用 skills，使其在 SOC 核心流程中具备深度领域能力：告警分诊、检测规则编写、实体调查、威胁狩猎以及异常分析。同时还提供两个平台级技能：仪表板管理与图分析。Workflow 编排在 9.4 中以实验性能力提供。Elastic AI Agent 可以按顺序调用多个 skills，在一次调查中完成从威胁狩猎到检测调优再到 workflow 创建的全流程。更多安全 skills 正在开发中，包括检测仿真、二进制分析以及告警去重。

通过实体分析识别攻击主体（不仅仅是信号）

Elastic 9.4 通过实体分析在数据模型层解决身份噪声问题 —— 不是增加更多仪表板，而是提供四项 GA 能力，为分析师提供每个“人/主机/服务”的统一权威记录，并附带聚合风险与上下文：

Precision Entity Identification：将分散日志统一为高置信度的身份档案，在平台层自动治理，而非依赖分析师手动处理。
Entity Resolution：将 Okta、Entra、Active Directory 等分散账号整合为每个员工的统一记录。
Dynamic Watchlists：为高价值实体（高管、特权管理员、离职员工或自定义关键资产）引入风险倍数，使组织上下文成为风险评分的核心输入。
Entity-Driven Hunting Leads：从被动查询转向主动狩猎，根据环境行为模式生成带叙事上下文的风险线索，而不是空白搜索起点。

更深入的取证，更快速的响应

Elastic 9.4 扩展了端点调查能力，从远程脚本执行到跨平台内存取证，再到重构的 Osquery 工作流，共包含四项（正式发布）能力：

Runscript 响应动作与脚本库：允许分析师从 Response Console 或规则中执行远程脚本，并通过集中脚本库实现标准化与复用，支持一致化修复、自定义取证与 MSSP 规模化操作。
Linux 内存转储响应动作：将跨平台内存取证扩展到 Linux，使得无需外部工具即可在 Elastic Security 内采集进程内存，用于无文件攻击与内存驻留攻击分析。
Osquery 增强：提供统一历史页面、更清晰的结果视图以及更强的搜索与过滤能力，提升分析效率。
Jumplists Osquery 表扩展与取证查询包：提供针对浏览器历史、Amcache 和 Jumplists 的预构建查询，用于还原用户行为与攻击链时间线。

更多细节请参见 Elastic Security 9.4 发布说明。

如果你错过了这些更新……

在 Elastic 发布周期之间，其实发生了很多变化，而 Elastic 9.3 到 9.4 之间也不例外。对于可能错过重要消息的读者，这里是一些值得了解的重点更新：

Elastic AutoOps 现已免费！Elastic AutoOps 将诊断与运维洞察直接带入你的环境，改变管理 Elasticsearch 的方式，并且现在不再额外收费。
跨项目搜索（Cross-project search）已进入技术预览：可以在单一界面中跨多个 Elastic Cloud Serverless 项目执行查询，同时不破坏项目级隔离与安全边界。
统一 API keys 现已支持 Elastic Cloud Serverless 与 Elasticsearch：使用一个 API key 即可跨项目管理基础设施与数据查询，同时保持细粒度权限控制。
基于 ARM 的新硬件配置带来更好的性价比 —— 在存储优化型工作负载上（Graviton4）最高提升 40%，在 CPU 密集型工作负载上（Axion）最高提升 25%。
Elastic Cloud Serverless 持续扩展：随着 AWS、Azure 和 Google Cloud 的新增区域支持，目前已覆盖全球 29 个区域。

立即开始使用

随着 Agent Builder、Workflows 等重要平台能力的增强，以及时间序列能力的显著提升，Elastic 9.4 已经准备好帮助组织将数据转化为答案、行动与结果。

所以，还在等什么？Elastic 9.4 已可在 Elastic Cloud 上使用 —— 该托管服务已包含本次发布的所有新功能。

（后略：标准发布说明与 AI 工具与商标声明）

本博客中所描述的任何功能或特性的发布与发布时间，均由 Elastic 全权决定。当前尚未可用的任何功能或特性，可能无法按时交付，甚至可能不会提供。

在本文中，我们可能使用或提及了第三方生成式 AI 工具，这些工具由其各自的所有者拥有并运营。Elastic 对这些第三方工具没有控制权，并且对其内容、运行或使用不承担任何责任或义务，也不对因使用这些工具可能造成的任何损失或损害负责。使用 AI 工具时请谨慎处理个人、敏感或机密信息。你提交的任何数据可能会被用于 AI 训练或其他用途。无法保证你提供的信息会被安全或保密地存储。使用任何生成式 AI 工具前，你应当了解其隐私政策与使用条款。

Elastic、Elasticsearch 及相关标识是 Elasticsearch B.V. 在美国及其他国家/地区的商标、标识或注册商标。所有其他公司和产品名称均为其各自所有者的商标、标识或注册商标。

原文：https://www.elastic.co/blog/whats-new-elastic-9-4-0