Elastic 9.2 技术解读：AI 代理构建、智能日志流与向量搜索优化

Elastic 9.2 刚刚发布，本次更新内容非常丰富，包括：

• 在 Kibana 中实现智能体工作流
• 人工智能辅助的日志管道
• 全新的磁盘向量索引
• Discover 中的体验优化

Elastic Agent Builder：在 Kibana 中实现对话、工具与智能体

可以快速创建能与你某中心数据进行对话并调用你所定义工具（如 ES|QL、内置的“列出索引”、“获取映射”等）的 AI 智能体。你可以创建工具，将它们组合成智能体，然后与你自定义的智能体或默认智能体进行对话。部分功能处于技术预览阶段并隐藏在功能标志后。
核心价值：这是一种基于标准（模型上下文协议，MCP）的原生方式来构建面向任务的智能体，无需繁琐集成。

示例：创建一个通过 ES|QL 查询金融新闻的工具

POST kbn://api/agent_builder/tools { "id": "news_on_asset", "type": "esql", "description": "Find news for a ticker", "configuration": { "query": "FROM financial_news | WHERE MATCH(entities, ?symbol) | limit 5", "params": { "symbol": { "type":"keyword" } } } }

将其接入一个智能体并在 Kibana 中与之对话：

POST kbn://api/agent_builder/converse { "input": "What news about DIA?", "agent_id": "custom_agent" }

或者，将其连接到你的 MCP 客户端，例如 Claude Desktop、Cursor 和 VS Code。

{"mcpServers":{"elastic-agent-builder":{"command":"npx","args":["mcp-remote","${KIBANA_URL}/api/agent_builder/mcp","--header","Authorization:${AUTH_HEADER}"],"env":{"KIBANA_URL":"${KIBANA_URL}","AUTH_HEADER":"ApiKey ${API_KEY}"}}}}

Streams：自我组织的 AI 辅助日志

Streams 利用人工智能解析和构建原始日志、对它们进行分区并突出显示重要事件，让你能够从最相关的信号开始调查。它与 OpenTelemetry、Elastic Agent、Filebeat、Logstash、Fluentd 等兼容。你也可以直接流式传输到/logs端点，实现无代理采集。其功能包括：

• 日志解析与结构化：将日志行转换为结构化、可查询的数据。Streams 使用 AI 来查找模式、提取字段并自动对你的日志进行分区，从而在调查开始前减少噪音。
• 重要事件：从日志开始你的调查。重要事件功能会自动标记需要关注的信号，例如错误、异常或证书过期，以便你专注于重要事项。
• 无代理采集：可以从任何来源采集任何日志，无论是 OpenTelemetry、Fluentd，还是通过某机构的一键集成。你可以直接流式传输到/logs端点——无需代理。
  所有这一切都由智能体 AI 驱动。在 Elastic 中，智能体工作流负责组织日志、突出重要事件并指导调查。它们结合了基于你知识库和操作手册的组织背景、快速的 ES|QL 查询以及机器学习。

快速 OpenTelemetry 提示（处理器和导出器示例）：

processors:transform/logs-streams:log_statements:-context:resourcestatements:-set(attributes["elasticsearch.index"],"logs")exporters:otlp/ingest:endpoint:${env:ELASTIC_OTLP_ENDPOINT}headers:Authorization:ApiKey ${env:ELASTIC_API_KEY}service:pipelines:logs:receivers:[filelog]processors:[batch,transform/logs-streams]exporters:[elasticsearch,debug]

DiskBBQ：向量搜索，但你的内存可以“休息”了

DiskBBQ 是 HNSW 的基于磁盘的替代方案，用于对压缩向量进行 k 近邻搜索。它将向量保留在磁盘上，在大型数据集上最大限度地减少了 RAM 需求，同时保持了召回率和速度。可以通过index_options.type=bbq_disk为每个字段启用它。

{"mappings":{"properties":{"image-vector":{"type":"dense_vector","dims":512,"similarity":"l2_norm","index_options":{"type":"bbq_disk"}}}}}

9.2 版本平台亮点

• ES|QL 智能查找联接：匹配多个字段和表达式（<,>,!=），并使用查找索引（甚至跨远程集群）进行数据丰富。

  FROMlogs-*,remote:logs-*|LOOKUPJOINlookup_indexONleft_field1>right_field1ANDleft_field2<=right_field2

• ES|QL 时间序列：原生的 RATE、*_OVER_TIME、TBUCKET、TS 使时间序列查询更直接。

  TS k8s|STATS max_rate=MAX(RATE(network.total_bytes_in))BYtime_bucket=TBUCKET(5minute)

• Discover 中的智能丰富：在浏览数据时，内联运行 LOOKUP JOIN。
• 后台搜索（技术预览）：从 Discover 将长时间的 ES|QL、KQL 或 DSL 查询作为异步作业启动，并在完成后收到通知。
• Discover 标签页：轻松切换上下文并进行并列比较。

博客、视频与趣味链接

按需培训：登录或注册后选择“按需”课程类型，即可免费启动其中一个 Elastic 培训课程。
相关文章与项目：

• 上下文工程：学习如何在 Elasticsearch 中使用某机构 Chat completions 来为大语言模型响应提供依据；探索相关性在 AI 智能体上下文工程中的影响。
• Streams：介绍用于可观测性的 Streams；探索 Streams 如何简化 Elasticsearch 中的保留期管理。
• 智能体 AI：讲解如何使用某机构 Agent Framework 与 Elasticsearch 在 Python 和 .NET 中构建一个简单的智能体应用。
• 多语言嵌入：了解如何部署用于向量搜索和跨语言检索的多语言嵌入模型，以及如何提高其相关性。
• 安全：介绍如何使用仪表板自动迁移加速 SIEM 迁移；介绍如何利用 AI 驱动的威胁狩猎提升公共部门网络防御能力。

精选视频：

• 《Elastic Agent Builder 介绍：为你的智能体提供最佳上下文和工具》
• 《如何使用 OpenTelemetry 和 Elastic 可观测性检测前端 Web 应用程序》
• 《如何使用 Elasticsearch 同义词 API 提高搜索准确性》
• 《展示智能体搜索可观测性自动调优》

来自社区的精选博客与项目：

• 《使用 Elasticsearch 查询电子健康记录》
• 《Elasticsearch 中的范围查询与查询范围》
• 《Elasticsearch：精通索引、分析器和混合搜索》

即将举行的活动

Elastic{ON} Tour 系列单日会议即将在全球多地回归，欢迎注册参加：

• 硅谷（聚焦安全和可观测性）—— 2026年1月22日
• 巴黎 —— 2026年1月27日
• 伦敦 —— 2026年2月26日
• 圣保罗 —— 2026年3月5日
• 悉尼 —— 2026年3月5日
• 新加坡 —— 2026年3月17日
• 华盛顿特区 —— 2026年3月19日
• 东京 —— 2026年3月19日

同时，欢迎提交演讲想法，即使它们还不太成熟。
欢迎加入当地的 Elastic 用户组社区，以获取最新活动信息！也可以在 Meetup.com 和 Luma 上找到。如果有兴趣在聚会中演讲，可以发送邮件至 meetups@elastic.co。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）或者 我的个人博客 https://blog.qife122.com/
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）