Elastic 9.2 技术解读：AI 代理构建、智能日志流与向量搜索优化

Elastic 9.2 刚刚发布，本次更新内容非常丰富，包括：

• 在 Kibana 中实现智能体工作流
• 人工智能辅助的日志管道
• 全新的磁盘向量索引
• Discover 中的体验优化

Elastic Agent Builder：在 Kibana 中实现对话、工具与智能体

可以快速创建能与你某中心数据进行对话并调用你所定义工具（如 ES|QL、内置的“列出索引”、“获取映射”等）的 AI 智能体。你可以创建工具，将它们组合成智能体，然后与你自定义的智能体或默认智能体进行对话。部分功能处于技术预览阶段并隐藏在功能标志后。

核心价值：这是一种基于标准（模型上下文协议，MCP）的原生方式来构建面向任务的智能体，无需繁琐集成。

示例：创建一个通过 ES|QL 查询金融新闻的工具

POST kbn://api/agent_builder/tools
{
  "id": "news_on_asset",
  "type": "esql",
  "description": "Find news for a ticker",
  "configuration": {
    "query": "FROM financial_news | WHERE MATCH(entities, ?symbol) | limit 5",
    "params": { "symbol": { "type":"keyword" } }
  }
}

将其接入一个智能体并在 Kibana 中与之对话：

POST kbn://api/agent_builder/converse
{ "input": "What news about DIA?", "agent_id": "custom_agent" }

或者，将其连接到你的 MCP 客户端，例如 Claude Desktop、Cursor 和 VS Code。

{
  "mcpServers": {
    "elastic-agent-builder": {
      "command": "npx",
      "args": [
        "mcp-remote",
        "${KIBANA_URL}/api/agent_builder/mcp",
        "--header",
        "Authorization:${AUTH_HEADER}"
      ],
      "env": {
        "KIBANA_URL": "${KIBANA_URL}",
        "AUTH_HEADER": "ApiKey ${API_KEY}"
      }
    }
  }
}

Streams：自我组织的 AI 辅助日志

Streams 利用人工智能解析和构建原始日志、对它们进行分区并突出显示重要事件，让你能够从最相关的信号开始调查。它与 OpenTelemetry、Elastic Agent、Filebeat、Logstash、Fluentd 等兼容。你也可以直接流式传输到 /logs 端点，实现无代理采集。其功能包括：

• 日志解析与结构化：将日志行转换为结构化、可查询的数据。Streams 使用 AI 来查找模式、提取字段并自动对你的日志进行分区，从而在调查开始前减少噪音。
• 重要事件：从日志开始你的调查。重要事件功能会自动标记需要关注的信号，例如错误、异常或证书过期，以便你专注于重要事项。
• 无代理采集：可以从任何来源采集任何日志，无论是 OpenTelemetry、Fluentd，还是通过某机构的一键集成。你可以直接流式传输到 /logs 端点——无需代理。 所有这一切都由智能体 AI 驱动。在 Elastic 中，智能体工作流负责组织日志、突出重要事件并指导调查。它们结合了基于你知识库和操作手册的组织背景、快速的 ES|QL 查询以及机器学习。

快速 OpenTelemetry 提示（处理器和导出器示例）：

processors:
  transform/logs-streams:
    log_statements:
      - context: resource
        statements:
          - set(attributes["elasticsearch.index"], "logs")
exporters:
  otlp/ingest:
    endpoint: ${env:ELASTIC_OTLP_ENDPOINT}
    headers:
      Authorization: ApiKey ${env:ELASTIC_API_KEY}
service:
  pipelines:
    logs:
      receivers: [filelog]
      processors: [batch, transform/logs-streams]
      exporters: [elasticsearch, debug]

DiskBBQ：向量搜索，但你的内存可以“休息”了

DiskBBQ 是 HNSW 的基于磁盘的替代方案，用于对压缩向量进行 k 近邻搜索。它将向量保留在磁盘上，在大型数据集上最大限度地减少了 RAM 需求，同时保持了召回率和速度。可以通过 index_options.type=bbq_disk 为每个字段启用它。

{
  "mappings": {
    "properties": {
      "image-vector": {
        "type": "dense_vector",
        "dims": 512,
        "similarity": "l2_norm",
        "index_options": { "type": "bbq_disk" }
      }
    }
  }
}

9.2 版本平台亮点

• ES|QL 智能查找联接：匹配多个字段和表达式（<, >, !=），并使用查找索引（甚至跨远程集群）进行数据丰富。FROM logs-*, remote:logs-* | LOOKUP JOIN lookup_index ON left_field1 > right_field1 AND left_field2 <= right_field2
• ES|QL 时间序列：原生的 RATE、*_OVER_TIME、TBUCKET、TS 使时间序列查询更直接。TS k8s | STATS max_rate=MAX(RATE(network.total_bytes_in)) BY time_bucket = TBUCKET(5minute)
• Discover 中的智能丰富：在浏览数据时，内联运行 LOOKUP JOIN。
• 后台搜索（技术预览）：从 Discover 将长时间的 ES|QL、KQL 或 DSL 查询作为异步作业启动，并在完成后收到通知。
• Discover 标签页：轻松切换上下文并进行并列比较。

博客、视频与趣味链接

按需培训：登录或注册后选择“按需”课程类型，即可免费启动其中一个 Elastic 培训课程。

相关文章与项目：

• 上下文工程：学习如何在 Elasticsearch 中使用某机构 Chat completions 来为大语言模型响应提供依据；探索相关性在 AI 智能体上下文工程中的影响。
• Streams：介绍用于可观测性的 Streams；探索 Streams 如何简化 Elasticsearch 中的保留期管理。
• 智能体 AI：讲解如何使用某机构 Agent Framework 与 Elasticsearch 在 Python 和 .NET 中构建一个简单的智能体应用。
• 多语言嵌入：了解如何部署用于向量搜索和跨语言检索的多语言嵌入模型，以及如何提高其相关性。
• 安全：介绍如何使用仪表板自动迁移加速 SIEM 迁移；介绍如何利用 AI 驱动的威胁狩猎提升公共部门网络防御能力。

精选视频：

• 《Elastic Agent Builder 介绍：为你的智能体提供最佳上下文和工具》
• 《如何使用 OpenTelemetry 和 Elastic 可观测性检测前端 Web 应用程序》
• 《如何使用 Elasticsearch 同义词 API 提高搜索准确性》
• 《展示智能体搜索可观测性自动调优》

来自社区的精选博客与项目：

• 《使用 Elasticsearch 查询电子健康记录》
• 《Elasticsearch 中的范围查询与查询范围》
• 《Elasticsearch：精通索引、分析器和混合搜索》

即将举行的活动

Elastic{ON} Tour 系列单日会议即将在全球多地回归，欢迎注册参加：

• 硅谷（聚焦安全和可观测性）—— 2026年1月22日
• 巴黎 —— 2026年1月27日
• 伦敦 —— 2026年2月26日
• 圣保罗 —— 2026年3月5日
• 悉尼 —— 2026年3月5日
• 新加坡 —— 2026年3月17日
• 华盛顿特区 —— 2026年3月19日
• 东京 —— 2026年3月19日

同时，欢迎提交演讲想法，即使它们还不太成熟。

欢迎加入当地的 Elastic 用户组社区，以获取最新活动信息！也可以在 Meetup.com 和 Luma 上找到。如果有兴趣在聚会中演讲，可以发送邮件至 meetups@elastic.co。