Elastic 9.4 新版本：Workflows 正式版上線、Agent Builder 優化與全面支援 PromQL

Elastic 產品資訊 2026 年 5 月 11 日

Elasticsearch 平台正式發布了最新版本 Elastic 9.4。最新版本在 Elastic Search & AI、Elastic Observability（可觀測性）與 Elastic Security（資安）三大領域中，均導入了更全面的技術能力。

The Elasticsearch Platform

Elastic 9.4 重點更新

Elastic 9.4 的更新展現了其作為 AI 「上下文（Context）與檢索層」的核心地位，主要包含：

Agent Builder 功能擴展

新增多種控制元件，優化 Agents 獲取並運用上下文的效率。新支援包含 Skills、Attachments、Connectors 與 Plugins ，讓 Agent 的行動更精準。

原生支援 Prometheus 與 PromQL

結合 Elasticsearch TSDB 效能優化（效能優於 Prometheus 2.6 倍）以及 ES|QL 時間序列功能正式上線 (GA)。Elastic 提供了一套能完全替代 Prometheus 與 Grafana 的整合方案，將日誌分析與指標（Metrics）整合在單一平台，加速故障排除。

Elastic Workflows 正式上線

Workflows 結合自動化腳本與 AI 代理推理能力。對於 Elastic Security 用戶，這意味著原生自動化能直接處理資料的分流、富化（Enrichment）、響應與案件管理，無需切換平台。

資安實體分析（Entity Analytics）進化

新增四項核心能力：精確分析實體識別、實體關聯、動態監控名單以及實體驅動偵測。讓分析師能獲得單一且權威的個人紀錄，整合風險等級與組織脈絡，同時提供 AI 代理更準確的背景資訊進行判斷。

底層架構與效能提升

DiskBBQ 演算法：優化向量索引與搜尋效能
GPU 加速索引 (GA)：由 NVIDIA cuVS 驅動，索引吞吐量最高提升 12 倍
無 Schema 查詢： ES|QL 現在可直接對未定義 Mapping 的欄位進行查詢、篩選與聚合
合規性提升： Elasticsearch 與 Kibana 全面符合 FIPS 140-3 標準

Elasticsearch 平臺

在最新版本中，Elasticsearch 平台在自動化編排、查詢語言、AI 原生體驗及企業合規四大維度均有顯著提升。

自動化與編排：

Elastic Workflows 已正式上線。Workflows 是連結 Elastic 與外部營運系統的自動化層。它能觸發外部系統動作、協調多步驟流程，並將「平台偵測」到「實際執行」的閉環自動化。

與 Agent Builder 協作： Agent Builder 定義代理程式的知識與推理邏輯，而 Workflows 則定義其執行動作，兩者互為補充。

ES|QL：強大的管道式查詢語言

ES|QL 持續進化，新增五項技術預覽（Technical Preview）功能，提升分析效率：

子查詢：支援在單一語句中結合多個獨立管道，無需手動彙整多個查詢結果。
近似查詢：在處理海量資料時，以極小精確度換取極速回應，並提供信心指標，讓分析師掌握結果的可信度。
邏輯檢視：可定義複雜的查詢邏輯並命名，供儀表板、警示與即時查詢重複調用。
JSON 欄位提取：透過標準路徑法直接從 JSON 欄位或 _source 提取資料，無需重新索引 (Reindexing)。
存取所有攝取欄位：即使攝取時漏掉 Mapping 的欄位現在也能直接查詢，確保資料完整覆蓋。

AI 原生 Kibana

Kibana 正轉向更智慧的作業空間：

AI 儀表板生成：分析師只需用自然語言描述需求，Kibana 即可透過對話方式逐步建置儀表板。
儀表板即程式碼：平台團隊可透過 CI/CD 流程控管儀表板版本，取代脆弱的 saved-object 匯入匯出模式。

營運管理與合規化

針對管理員與合規團隊，多項 GA 功能上線：

查詢活動監控：管理員可即時查看所有長時間執行的查詢來源，並一鍵取消。
搜尋分析日誌：自動紀錄 DSL、ES|QL、EQL 與 SQL 的查詢延遲與內容，無需額外配置。
個人化連線授權： Kibana Connector 支援以個人身分驗證取代共用服務帳號，讓審核追蹤更精確。
FIPS 140-3 合規： Elasticsearch 與 Kibana 全面支援此安全標準，提供平滑升級路徑，無需資料遷移。

Search & AI

Elastic 9.4 為建構 AI Agents 的開發者提供了生產環境所需的掌握度：包含更精準的代理行為控制、更深層的效能監測，以及更具成本效益的向量運算。

Agent Builder 體驗優化 Elastic 9.4 升級了使用者介面，優化開發者配置 AI 助理的流程。

Agent Builder

在 Elastic 9.4 中，Agent Builder 透過一系列連動的新功能，大幅優化了代理程式（Agents）獲取、運用與處理上下文（Context）的能力，讓開發者能建構出更穩定、低成本且高效能的 AI 助理。

Skills：這是一套引導指令，專門教導 Agent 如何完成特定任務。Skills 僅在需要時才會載入，有效提升反應效率。
Kibana 物件對話與即時預覽：支援在對話介面中直接操作 Kibana 物件，例如：儀表板、Workflows 與 ES|QL 查詢。使用者可以透過對話直接建立、微調並分析資料。
語義元資料層（Semantic Metadata Layer）：在 Elastic 及其連結的外部來源（如 Google Drive, SharePoint）之上，建立了一層語義探索骨幹。這讓 Agent 能更深入理解資料脈絡，進而優化推理結果。
上下文管理優化：導入查詢結果卸載、壓縮與摘要技術。在長篇、多輪的對話情境下，能有效降低成本並提升回應速度。

向量資料庫（Vector DB）

Elasticsearch 9.4 針對向量索引與搜尋演算法進行了深度優化，確保在生產環境的 AI 應用中能達到速度與成本的最佳平衡。

作為 Elastic 最核心的向量搜尋演算法，DiskBBQ 在此版本中大幅提升了效能。針對帶有「嚴格篩選條件」的查詢，其延遲降低了至少 3 倍。此外，受益於原生代碼（Native Code）的廣泛應用，向量比較效能也顯著提升，進而加速了索引與搜尋過程。
靈活的量化（將向量量化為 2-bit、4-bit 或 7-bit。當單一位元量化不足以滿足精確度時，這些新選項能提供更好的召回率。
GPU 加速向量索引正式上線 (GA)：先前於 9.3 釋出的技術預覽功能現已正式發布。透過整合 NVIDIA cuVS（開源 GPU 向量搜尋與資料分群函式庫），地端用戶可獲得高達 12 倍的索引吞吐量提升，以及 7 倍快的強制合併速度。

開發者引導助理

新推出的對話式助理能引導開發者從構思階段快速進入實作，目前已支援在 Cursor、Claude Code 以及 Kibana 中運行。

引導式實作：助理會詢問開發目標、分析資料結構並推薦最佳實踐方案。
全流程自動化：從欄位映射（Mapping）、資料索引到產生可運行的實作程式碼，助理會分步引導，並在過程中主動提示關鍵的 Elasticsearch 核心概念。
縮短開發週期：對於初次建置搜尋應用或正在開發原型（Prototyping）的團隊，這項工具能將數小時的文檔閱讀時間縮短至數分鐘的引導式開發，大幅提升效率。

動態 LLM 連接器與推論管理

Elastic 9.4 強化了對大語言模型（LLM）的整合與集中化控管能力：

跨版本模型擴充：現在無需等待 Stack 版本更新，即可透過連接器即時支援最新的 LLM 模型。
統一推論管理體驗：在 Elastic 生態系中建立了一個單一且權威的管理介面。無論是推論端點（Inference Endpoints）、模型還是連接器，都能在同一個位置進行集中控管。
流程整合：讓開發者在處理所有的 Search & AI 工作流時，能更流暢地調度資源，確保管理邏輯的一致性。

Elastic Observability

隨著微服務與 Kubernetes 規模化，指標資料（Metrics）已爆增至億級。現有工具如 Datadog 常因「自定義指標」導致費用激增，逼使團隊刪除高基數標籤來節省預算；而 Prometheus 與 Grafana 則面臨效能下降及日誌與指標分散的問題。

Elastic Observability 9.4 讓 Elasticsearch 成為處理指標的首選平台，效能比 Prometheus 快 30 倍，儲存效率高出 2.6 倍，成本卻不到 Datadog 的一半，且完全不設高基數限制。透過 Kibana 對 PromQL 的原生支援，團隊可無縫沿用既有儀表板。此外，新版針對 Kubernetes 導入了 AI 驅動的自動化調查，讓 SRE 在點開儀表板前就能鎖定根本原因。

透過 Elastic 9.4，將所有資料（甚至是指標資料！）整合至 Elastic 平台變得前所未有的簡單。

更進階的指標數據體驗

Elastic 9.4 的更新大幅提升了處理指標資料（Metrics）的能力。藉由更高效的儲存架構、正式支援的時間序列查詢語言，以及對 PromQL 的原生支援，SRE 團隊能在單一平台上直接整合日誌（Logs）、指標與追蹤（Traces），不需改動既有的工具鏈。

TSDB 效能提升：Elasticsearch TSDB 現已支援正式生產環境。與 Prometheus 相比，儲存效率提升 2.6 倍，查詢速度快了 30 倍。這代表在相同的硬體預算下，能攝取更多資料、存放更久，且查詢反應更快。
原生支援 Prometheus 與 PromQL (技術預覽)：現在能直接將 Prometheus 資料導入 Elasticsearch，並在 Kibana 裡直接執行 PromQL。開發者可以沿用習慣的語法，同時搭配 ES|QL 進行跨維度的關聯分析。
ES|QL 時間序列分析：正式支援大規模的時間序列運算，並內建 rate、changes、cumulative 等聚合函數。這讓監控、警示與報表工作流更加穩固，在處理日誌與指標時，不再需要中途切換工具或語法。

TSDB 效能的提升，為將日誌、指標與追蹤資料整合至單一平台提供了強而有力的實務理由。

Kubernetes 代理式觀測

Elastic Observability 為 Kubernetes 導入了代理式（Agentic）調查體驗，實現從警示到根本原因分析的自動化：

自動化調查工作流：在 Kibana 中，AI 代理會在觸發警示時主動介入，在工程師開啟儀表板前，就先提供包含證據與後續建議的「根本原因假設」。
Kubernetes MCP ：推出全新的 MCP App，將 K8s 專屬的維運技能直接整合至 Claude 或 VS Code 等 AI 開發工具中。
即用型監控資源：內建多款儀表板、SLO 與機器學習任務，支援隨時進行更深入的即時分析。

觀測專用代理技能

Agent Skills 是開源的套件包，賦予 AI 開發助理原生的 Elastic 觀測專業能力，使其能在平台內執行實際的運作流程。本次更新涵蓋了 SRE 與開發者日常最核心的五大工作流：

使用 OpenTelemetry 進行應用程式檢測
搜尋日誌
管理服務水準目標 (SLO)
評估服務健康狀態
監控 LLM 應用程式

這些任務通常需要熟悉特定的 API、索引模式與 Kibana 操作流程。為了避免人工重複操作時出錯或耗費過多時間，Agent Skills 將這些領域知識封裝成可重複使用的模組，確保執行的精確度與一致性。

目前所有的技能套件已在 Agent Skills GitHub 儲存庫開放，開發者可立即導入使用。

Elastic Cloud 正式支援 OTLP 託管端點

Elastic Cloud 已正式推出 OTLP 託管端點，讓團隊能更輕鬆地將 OpenTelemetry 的日誌、指標與追蹤資料直接傳入 Elastic。

簡化架構：無需自行佈署或維運 Collector 即可完成基礎資料攝取，降低管理負擔。
降低成本：減少導入 OpenTelemetry 的阻礙，加快資料上線速度，也省去了維護自託管收集層的成本。

Elastic Security

在 9.4 版本中，Elastic Security 透過正式發佈的 Workflows 將原生自動化直接導入平台，涵蓋了警示分流、資料富化、響應與案件管理，讓資安人員能在資料所在地直接完成處置。

此外，新推出的四項實體分析（Entity Analytics）能力 —— 包含精確識別、實體關聯、動態監控名單與實體驅動偵測 —— 為分析師提供了唯一的權威紀錄與風險背景，不僅提升了人工威脅獵捕的效率，也讓 AI 代理在處理資安資料時能有更精確的推理基礎。

透過 Elastic 9.4 的 Workflows，團隊能以更強大的方式，在各種環境中設計、自動化並擴展以工作流驅動的維運流程。

Agentic SOC 的原生自動化

Elastic Workflows 現已正式上線。這讓資安團隊能在整合了 SIEM 與 XDR 的平台中，實現 Agentic SOC 的自動化願景 —— 針對警示、調查與案件直接執行資料富化、分流與響應。由於處置流程直接發生在資料所在地，能大幅縮短偵測到應變的時間。

提升資料管理與合規性

自動化流程的可靠性建立在資料完整度與權限治理之上。Elastic 9.4 透過以下功能優化了管控能力：

細粒度的偵測與警示權限：現在可針對偵測規則與警示分別配置權限。這讓初級分析師能執行警示分流，同時確保核心偵測邏輯不會被誤改，強化了內部管控。
SIEM 準備就緒檢核：提供集中化的健康度視窗，針對端點、身分、網路、雲端及應用程式等五大日誌類別，評估資料覆蓋率、品質與連續性，確保底層資料足以支撐偵測需求。

為資安打造的 Agent Skills

Elastic 9.4 為 AI Agent 導入了五項專屬技能，賦予其處理 SOC 核心流程的專業知識：警示分流、規則撰寫、實體調查、威脅獵捕與異常分析。此外，AI Agent 也能調用儀表板管理與圖表建立等平台通用技能，而「工作流撰寫」則作為 9.4 的實驗性功能同步推出。

此版本的亮點在於 AI Agent 具備連續執行技能的能力：在單次調查中，它能從威脅獵捕開始，接續進行偵測規則調校，最後直接建立自動化工作流。未來還將加入偵測模擬、二進制分析與警示去重等進階技能，持續強化 AI 在資安維運的實戰火力。

透過實體分析精準識別攻擊者

Elastic 9.4 透過實體分析 (Entity Analytics) 從資料模型層級解決了身分識別的雜訊，不再只是提供更多儀表板，而是透過四項正式發佈的功能，為分析師提供整合了風險與背景資訊的「權威紀錄」：

精準實體識別：自動將分散的日誌統一為用戶、主機和服務的高可信度身分檔案。這由平台自動管理，無需分析師手動操作。
實體關聯：將 Okta、Entra、Active Directory 等碎片化的數位帳號，整合為每位員工唯一的統一紀錄。
動態監控名單：針對高價值對象（如高階主管、特權管理員或核心系統）套用風險評分加權，將組織背景納入風險評分的核心考量。
實體驅動獵捕線索：將威脅獵捕從被動轉為主動。系統會根據環境中的實際行為模式，提供帶有敘事背景的風險線索，讓分析師不再面對空白頁面不知從何下手。

更深層的取證，更快的處理速度

Elastic 9.4 透過四項正式發佈的功能，延伸了端點調查的廣度，讓團隊能從遠端腳本執行一路深入到跨平台的記憶體取證：

腳本響應動作與集中腳本庫：分析師能直接從控制台執行遠端腳本，或透過自動化規則調用。集中化的腳本庫確保了修復動作的一致性，並能滿足 MSSP 規模的維運需求。
Linux 記憶體轉儲響應動作：將記憶體取證擴展至 Linux 環境。無需外部工具即可直接獲獲取程序記憶體，有效應對無檔案惡意軟體 (Fileless Malware) 與記憶體駐留攻擊。
Osquery 體驗革新：重新設計查詢歷史與進階搜尋功能，解決操作門檻，大幅提升大規模分析時的效率。
取證查詢包與資料表擴展：針對瀏覽器紀錄與 Jumplists 提供預建查詢，能即時取得關鍵跡證，快速重建攻擊者的行為時間軸。