Elastic 9.2 刚刚发布,本次更新内容非常丰富,包括:
- 在 Kibana 中实现智能体工作流
- 人工智能辅助的日志管道
- 全新的磁盘向量索引
- Discover 中的体验优化
Elastic Agent Builder:在 Kibana 中实现对话、工具与智能体
可以快速创建能与你某中心数据进行对话并调用你所定义工具(如 ES|QL、内置的“列出索引”、“获取映射”等)的 AI 智能体。你可以创建工具,将它们组合成智能体,然后与你自定义的智能体或默认智能体进行对话。部分功能处于技术预览阶段并隐藏在功能标志后。
核心价值:这是一种基于标准(模型上下文协议,MCP)的原生方式来构建面向任务的智能体,无需繁琐集成。
示例:创建一个通过 ES|QL 查询金融新闻的工具
POST kbn://api/agent_builder/tools
{
"id": "news_on_asset",
"type": "esql",
"description": "Find news for a ticker",
"configuration": {
"query": "FROM financial_news | WHERE MATCH(entities, ?symbol) | limit 5",
"params": { "symbol": { "type":"keyword" } }
}
}
将其接入一个智能体并在 Kibana 中与之对话:
POST kbn://api/agent_builder/converse
{ "input": "What news about DIA?", "agent_id": "custom_agent" }
或者,将其连接到你的 MCP 客户端,例如 Claude Desktop、Cursor 和 VS Code。
{
"mcpServers": {
"elastic-agent-builder": {
"command": "npx",
"args": [
"mcp-remote",
"${KIBANA_URL}/api/agent_builder/mcp",
"--header",
"Authorization:${AUTH_HEADER}"
],
"env": {
"KIBANA_URL": "${KIBANA_URL}",
"AUTH_HEADER": "ApiKey ${API_KEY}"
}
}
}
}
Streams:自我组织的 AI 辅助日志
Streams 利用人工智能解析和构建原始日志、对它们进行分区并突出显示重要事件,让你能够从最相关的信号开始调查。它与 OpenTelemetry、Elastic Agent、Filebeat、Logstash、Fluentd 等兼容。你也可以直接流式传输到 /logs 端点,实现无代理采集。其功能包括:
- 日志解析与结构化:将日志行转换为结构化、可查询的数据。Streams 使用 AI 来查找模式、提取字段并自动对你的日志进行分区,从而在调查开始前减少噪音。
- 重要事件:从日志开始你的调查。重要事件功能会自动标记需要关注的信号,例如错误、异常或证书过期,以便你专注于重要事项。
- 无代理采集:可以从任何来源采集任何日志,无论是 OpenTelemetry、Fluentd,还是通过某机构的一键集成。你可以直接流式传输到
/logs端点——无需代理。
所有这一切都由智能体 AI 驱动。在 Elastic 中,智能体工作流负责组织日志、突出重要事件并指导调查。它们结合了基于你知识库和操作手册的组织背景、快速的 ES|QL 查询以及机器学习。
快速 OpenTelemetry 提示(处理器和导出器示例):
processors:
transform/logs-streams:
log_statements:
- context: resource
statements:
- set(attributes["elasticsearch.index"], "logs")
exporters:
otlp/ingest:
endpoint: ${env:ELASTIC_OTLP_ENDPOINT}
headers:
Authorization: ApiKey ${env:ELASTIC_API_KEY}
service:
pipelines:
logs:
receivers: [filelog]
processors: [batch, transform/logs-streams]
exporters: [elasticsearch, debug]
DiskBBQ:向量搜索,但你的内存可以“休息”了
DiskBBQ 是 HNSW 的基于磁盘的替代方案,用于对压缩向量进行 k 近邻搜索。它将向量保留在磁盘上,在大型数据集上最大限度地减少了 RAM 需求,同时保持了召回率和速度。可以通过 index_options.type=bbq_disk 为每个字段启用它。
{
"mappings": {
"properties": {
"image-vector": {
"type": "dense_vector",
"dims": 512,
"similarity": "l2_norm",
"index_options": { "type": "bbq_disk" }
}
}
}
}
9.2 版本平台亮点
- ES|QL 智能查找联接:匹配多个字段和表达式(
<,>,!=),并使用查找索引(甚至跨远程集群)进行数据丰富。FROM logs-*, remote:logs-* | LOOKUP JOIN lookup_index ON left_field1 > right_field1 AND left_field2 <= right_field2 - ES|QL 时间序列:原生的 RATE、
*_OVER_TIME、TBUCKET、TS 使时间序列查询更直接。TS k8s | STATS max_rate=MAX(RATE(network.total_bytes_in)) BY time_bucket = TBUCKET(5minute) - Discover 中的智能丰富:在浏览数据时,内联运行 LOOKUP JOIN。
- 后台搜索(技术预览):从 Discover 将长时间的 ES|QL、KQL 或 DSL 查询作为异步作业启动,并在完成后收到通知。
- Discover 标签页:轻松切换上下文并进行并列比较。
博客、视频与趣味链接
按需培训:登录或注册后选择“按需”课程类型,即可免费启动其中一个 Elastic 培训课程。
相关文章与项目:
- 上下文工程:学习如何在 Elasticsearch 中使用某机构 Chat completions 来为大语言模型响应提供依据;探索相关性在 AI 智能体上下文工程中的影响。
- Streams:介绍用于可观测性的 Streams;探索 Streams 如何简化 Elasticsearch 中的保留期管理。
- 智能体 AI:讲解如何使用某机构 Agent Framework 与 Elasticsearch 在 Python 和 .NET 中构建一个简单的智能体应用。
- 多语言嵌入:了解如何部署用于向量搜索和跨语言检索的多语言嵌入模型,以及如何提高其相关性。
- 安全:介绍如何使用仪表板自动迁移加速 SIEM 迁移;介绍如何利用 AI 驱动的威胁狩猎提升公共部门网络防御能力。
精选视频:
- 《Elastic Agent Builder 介绍:为你的智能体提供最佳上下文和工具》
- 《如何使用 OpenTelemetry 和 Elastic 可观测性检测前端 Web 应用程序》
- 《如何使用 Elasticsearch 同义词 API 提高搜索准确性》
- 《展示智能体搜索可观测性自动调优》
来自社区的精选博客与项目:
- 《使用 Elasticsearch 查询电子健康记录》
- 《Elasticsearch 中的范围查询与查询范围》
- 《Elasticsearch:精通索引、分析器和混合搜索》
即将举行的活动
Elastic{ON} Tour 系列单日会议即将在全球多地回归,欢迎注册参加:
- 硅谷(聚焦安全和可观测性)—— 2026年1月22日
- 巴黎 —— 2026年1月27日
- 伦敦 —— 2026年2月26日
- 圣保罗 —— 2026年3月5日
- 悉尼 —— 2026年3月5日
- 新加坡 —— 2026年3月17日
- 华盛顿特区 —— 2026年3月19日
- 东京 —— 2026年3月19日
同时,欢迎提交演讲想法,即使它们还不太成熟。
欢迎加入当地的 Elastic 用户组社区,以获取最新活动信息!也可以在 Meetup.com 和 Luma 上找到。如果有兴趣在聚会中演讲,可以发送邮件至 meetups@elastic.co。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)或者 我的个人博客 https://blog.qife122.com/
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
扫一扫
1705
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
