Elastic 2026 必读总结：面向 Microsoft Build 参会者与 Azure 开发者

AI代理的记忆能力。比Prometheus快30倍。一个索引支持所有媒体类型。这是Elastic在2026年发布的成果。

截至2026年，Elastic已发布四项重大进展，改变了您的搜索能力和AI栈的功能。

• Elastic Inference Service (EIS) 现在托管了 jina-embeddings-v5-omni 模型，可将文本、图像、视频和音频统一存入单一 Elasticsearch 索引，并支持近100种语言。
• Elastic Agent Builder 发布了上下文管理、技能模块和企业级连接器，使AI代理在大规模长对话中保持准确性。
• 重构后的指标引擎 将OpenTelemetry (OTel) 数据压缩至每数据点仅3.75字节，并实现比早期Elasticsearch TSDS快160倍的查询速度。
• Elastic Security Labs 开源了 CI/CD流水线检测器，可在攻击者进入生产环境前拦截GitHub Actions和Azure DevOps中的恶意行为。

请通过本博客了解我们在2026年发布的全部内容。

2026年，Elastic为何成为Azure开发者的首选平台？

1. Elasticsearch现已成为基于Azure AI Foundry构建的代理的检索层

AI代理最大的生产失败原因在于“上下文”——错误的数据、过期的数据或根本没有数据在推理时到达代理。Elastic 9.4 通过三个面向生产环境的改进解决了这一问题，这些改进现已作为 Agent Builder 的通用功能提供：

1. 技能（Skills）：代理按需加载指令包，赋予其领域专业知识，而无需膨胀每个上下文窗口。目前已发布五种专为安全运营设计的技能，五种专为站点可靠性工程（SRE）工作流设计的技能，更多技能正在开发中。

1. 原生Microsoft 365连接器：SharePoint和Drive的内容可通过语义元数据层直接呈现在代理上下文中。您的企业语料库将成为检索骨干；Elasticsearch即为此索引。

1. 大规模上下文管理：查询结果卸载、压缩与摘要功能确保长对话或多轮代理交互在生产环境中既准确又经济高效。

通过NVIDIA cuVS加速的GPU索引（已在Elastic 9.4中普遍可用），实现了 12倍的索引吞吐量提升。Elastic的向量索引算法DiskBBQ，在带有严格过滤条件的查询中，查询延迟至少提升了3倍。对于在Azure上运行且使用高基数嵌入的AI工作负载，这正是体现于大规模延迟与成本优势的基础架构能力。

Microsoft Azure AI集成 是Elasticsearch Labs生态系统中的第一类公民。如果您使用的是Azure OpenAI服务或Azure AI Foundry模型，Elasticsearch已准备好作为检索骨干，内置混合搜索（BM25 + 向量）、重排序及上下文工程功能。

对于Azure生态系统的TypeScript和JavaScript开发者，Elastic还在2026年4月发布了 流畅且类型安全的Elasticsearch查询语言（ES|QL）查询构建器。不再需要原始字符串插值进行查询，也不再因字段名拼写错误导致运行时意外：

const query = esql
  .from('logs-*')
  .where('event.category', '==', 'authentication')
  .stats('count(*)', { by: ['user.name', 'host.name'] })
  .sort('count(*)', 'desc')
  .limit(10);

每种媒体类型都只有一个索引

Microsoft 365内容不仅仅是文本。SharePoint库中包含PDF、幻灯片和扫描图像。Teams会捕获会议录音。Azure Blob存储则保存产品摄影、培训视频和客户通话音频文件。此前，对每种类型的索引都需要单独的模型和独立管道。

jina-embeddings-v5-omni 模型托管于 Elastic Inference Service，可将文本、图像、视频和音频统一存入单一Elasticsearch索引。单次查询即可同时检索跨所有媒体类型的语义相关内容，覆盖近100种语言。该模型提供两种尺寸：小尺寸和纳米尺寸，均针对标准GPU硬件进行了优化。

对于已有文本索引的开发者，jina-embeddings-v5-omni生成的文本嵌入与jina-embeddings-v5-text完全一致。您无需重建索引即可扩展其以处理图像、音频和视频。启用Elasticsearch BBQ量化后，模型性能损失不到3%，同时嵌入存储空间减少93%。

注意：jina-embeddings-v5-omni 在CC-BY-NC-4.0许可下可用于非商业评估。如需商业部署，请联系 Elastic销售团队。

2. Elastic现已集成至VS Code、Cursor和GitHub Copilot

2026年4月，Elastic发布了 MCP Apps —— 基于MCP App标准构建的交互式UI界面，由Anthropic和OpenAI共同制定。三款MCP应用同步上线：安全、可观测性和搜索。这三款应用均可原生无缝运行于 VS Code Copilot、Cursor 和 Claude Desktop 中。

Elastic Security MCP App 提供六个交互式安全运营中心（SOC）仪表板，可在聊天内直接渲染，无需离开编码环境：

1. 交互式用户界面：告警分拣：获取、过滤和分类安全告警。支持严重性分组、AI判定卡片、进程树及网络事件。

1. 攻击发现：基于AI关联的攻击链分析，支持按需生成。提供带有置信度评分、实体风险评估及MITRE映射的攻击叙事卡片。

1. 案件管理：创建、搜索和管理调查案件。案件列表包含告警、可观测项、评论标签页及AI操作功能。

1. 检测规则：浏览、调整和管理检测规则。规则浏览器支持KQL搜索、查询验证及噪声规则分析。

1. 威胁狩猎：配备ES|QL工作台，支持实体调查。内置查询编辑器、可点击实体及调查图谱。

1. 样本数据：为常见攻击场景生成ECS安全事件。提供场景选择器，内含四条预构建攻击链。

所有操作均通过产品所使用的相同API写回Elasticsearch和Kibana。基于角色的访问控制通过现有的Elasticsearch API密钥强制执行。安装只需双击一个.mcpb包，无需新增基础设施或治理模型。

Kubernetes可观测性MCP应用 将AKS调查能力直接集成至VS Code中。当容器崩溃时，AI编码代理可查询根本原因、呈现结构化证据并推荐下一步操作，无需打开仪表板。

请从最新GitHub发布版下载并安装两个包。

3. Elasticsearch现已成为生产级列式指标引擎

Azure全面拥抱OpenTelemetry。Azure Monitor、AKS、Azure Functions及Azure AI Foundry均原生输出OpenTelemetry协议（OTLP）数据。若您已在收集Azure工作负载的OTel遥测数据，关键问题在于这些数据将存储于何处，以及在凌晨2点发生故障时能否快速查询。

Elastic于2026年彻底重构了Elasticsearch的指标引擎，成果显著。全新的列式指标引擎 每个数据点仅占用3.75字节——相较一年前的25字节，存储效率提升6.6倍。查询性能相比早期Elasticsearch TSDS版本最高提升160倍，OTel数据索引吞吐量提升高达50%。

支撑这些性能数字的架构工作涉及三层：

1. 完全列式存储：Elastic用Lucene原生结构“文档值跳表”替代维度字段上的倒排索引与BKD树，强化列式布局并消除重复索引开销。每个字段独立存储于单独文件中，无行级追踪，无存储膨胀。

1. 向量化ES|QL计算引擎：新TS源命令（Elastic 9.4通用版）采用两级模型执行时间序列聚合：内层聚合如RATE()或AVG_OVER_TIME()，外层聚合处理结果。计算引擎以零拷贝解码方式直接处理时间序列排序数据，并将其载入原始数组进行并行向量化执行，支持计数率、仪表盘平均值及窗口查询。

1. 原生OTLP数据摄入：专用于OTLP protobuf端点（Elastic 9.3通用版）可直接接收来自OpenTelemetry采集器的数据，无需JSON转换层。维度哈希计算用于时间序列ID生成，在单个protobuf消息内摊销至各数据点，降低索引开销20%。

对于已使用PromQL仪表板和告警规则的Azure AKS团队，Elastic 9.4在Kibana中提供原生PromQL支持（技术预览版）。现有查询无需修改即可运行。同一TSDS存储及向量化计算引擎同时支持PromQL与ES|QL查询。

最终结果是统一平台，涵盖日志、指标、追踪及安全数据——无需独立后端、无基数限制、无按指标计费。对已输出OTel数据的Azure开发者而言，将数据存入Elasticsearch的成本更低、查询速度更快，无需再部署独立指标栈与现有日志基础设施并行。

Azure AKS工作负载的示例ES|QL时间序列查询：

TS metrics-hostmetricsreceiver.otel-default
| WHERE TRANGE(4h)
| STATS AVG(RATE(system.cpu.time)) BY host.name, TBUCKET(5m)

4. Elastic现保护您构建的应用程序，包括部署它们的流水线

2026年，CI/CD流水线成为首要攻击目标，且直接针对Azure和GitHub开发者。

Elastic安全实验室于2026年4月发布了相关研究，揭示行业普遍现象：攻击者不再针对生产服务器，而是转而攻击部署至其上的自动化流程。2025年9月，“GhostAction”活动通过注入恶意工作流文件，从817个GitHub仓库窃取了3,325个密钥。2026年2月，“HackerBot-Claw”利用GitHub Actions配置错误入侵Aqua Security的Trivy仓库，导致7,000台机器暴露33,000个密钥，该漏洞随后由微软自身安全团队公开记录。

Elastic安全实验室开源了cicd-abuse-detector ——一款可直接嵌入CI模板的工具，结合50+信号提取模式及大语言模型（LLM）推理能力，用于检测GitHub Actions、GitLab CI及Azure DevOps流水线中的可疑变更。它可在标准ubuntu-latest运行器上运行，无需Python依赖。判定结果将发送至Elasticsearch，实现跨平台关联分析：

FROM logs-cicd.abuse-* 
WHERE verdict.verdict IN ("malicious", "suspicious") AND @timestamp > NOW() - 7 days
| EVAL platform = cicd.platform, repo = cicd.repository, actor = cicd.actor
| SORT @timestamp DESC

一个查询。每个平台。历史可查。

对于 Entra ID 和 Active Directory 环境，Elastic Security 9.4 随附四项新的 实体分析 功能，在数据模型层面解决身份噪声问题：

1. 实体解析：将 Okta、Microsoft Entra ID 和 Active Directory 统一为每位员工的一条经过验证的身份记录（当威胁行为者在同一身份下跨三个系统横向移动时，Elastic 将其视为一个实体，而非三条独立警报）。
2. 动态黑名单：为 Azure 高级管理员、高管和核心服务账户注入风险倍增因子。
3. 基于实体的主动狩猎线索：提供环境特定的主动威胁狩猎线索，而非空泛的狩猎查询。
4. 精准实体识别：在平台级别自动管理身份统一。

对于 Azure AI Foundry 和 LLM 应用程序，自 Elastic 9.1 发布以来提供的 Azure AI Foundry 集成，通过自动拉取托管在 Azure AI Foundry 上的任何 AI 模型的日志与指标到 Elasticsearch 中，实现可观测性集中化。从那里开始，Elastic Observability 提供完整的分布式追踪、令牌成本跟踪、延迟监控及安全评估，让您清晰了解您的代理做了什么、花费多少以及在哪里出错。

对于 使用 GitHub Actions 和 Azure DevOps 管理 Kibana 的用户，Elastic 9.4 推出 仪表板即代码 —— 通过 CI/CD 流水线部署受版本控制的 Kibana 仪表板。仪表板与应用程序代码一同存放在源代码控制系统中。拉取请求、审查门禁和自动化发布同样适用于您的可观测性和安全视图，正如它们适用于这些视图所监控的服务。

合规性：Elasticsearch 和 Kibana 的 FIPS 140-3 合规性 已在 Elastic 9.4 中正式发布，早于 2026 年 9 月的截止日期。Elastic Cloud Serverless 目前已在九个全球 Azure 区域上线，并将在未来几个月继续扩展 Azure 地区覆盖范围。

从这里开始：微软 Build 参会者四步行动指南

1. 今天将 Elasticsearch 连接到您的 Azure AI Foundry 代理。立即注册免费的 Elastic Cloud 试用版。前往 Microsoft Azure AI 集成页面，将您的第一个基于 Azure OpenAI 的代理连接至 Elasticsearch 作为检索层。一个可用原型可在一小时内完成。
2. 在 VS Code 中安装 Elastic MCP 应用程序。从 最新发布版 下载 .mcpb 打包文件。在 VS Code Copilot 中使用您的 Elasticsearch URL 和 API 密钥进行连接。您的首次安全排查或 Kubernetes 调查可在五分钟内通过聊天界面完成。
3. 将 Azure OTel 指标导入 Elasticsearch。在 Elastic Cloud 上启用 托管 OTLP 端点。将您的 Azure Monitor OTel 收集器指向该端点。通过单一 ES|QL 数据管道查询 AKS 指标、主机遥测数据和应用追踪——无需额外的独立指标后端。
4. 强化您的 GitHub Actions 和 Azure DevOps 流水线。克隆 cicd-abuse-detector 仓库。将其添加到您的下一个拉取请求检查中。对照您的流水线配置审阅完整的 威胁模型。整个设置可在现有运行器上运行，仅需依赖 Claude Code CLI。

2026 年的 Elasticsearch 平台专为在 Microsoft 和 Azure 生态系统中工作的开发者而设计。代理、指标、流水线和身份在此处汇聚。与我们一同构建。

_本文所述任何功能或特性的发布及其时间安排均由 Elastic 单方面决定。当前尚未提供的任何功能或特性可能无法按时交付，甚至可能不会交付。_