作者来自 Elastic 李捷把 Elastic 的 SOC / SRE / 仪表盘工作流以可交互界面的形式直接搬进 Claude 对话里。本文带你从零跑通第一个 app。1. 这到底是什么MCP App是在 Model Context Protocol 基础上的扩展工具服务器不只返回文本还能返回一段可交互的 HTML 界面直接渲染在 AI 对话里。你让 Claude 调用一个工具回来的不是一段文字而是一块能点、能拖、能下钻的面板。Elastic 目前开源了三个 example appApp仓库解决什么安装难度Observabilityelastic/example-mcp-app-observabilitySRE 排障服务健康、依赖图、ML 异常、K8s 影响面⭐ 一键.mcpbSecurityelastic/example-mcp-app-securitySOC 工作流告警三角、Attack Discovery、Case、检测规则、Threat Hunt⭐ 一键.mcpbDashbuilderelastic/example-mcp-dashbuilder用自然语言生成 Kibana 仪表盘并导出⭐ 一键.mcpb本文以Observability app Claude Desktop为主线走一遍完整流程最省事最后再补上另外两个。2. 开始前的准备你需要Claude Desktop桌面客户端。.mcpb一键安装只在 Desktop 上有它自带 Node 运行时所以走这条路你不用单独装 Node。一个 Elasticsearch 9.x 集群已启用 SecurityElastic Cloud 默认就开了。集群的 API key下一步创建。可选Kibana 地址只有用到告警规则manage-alerts、Cases、Attack Discovery 这些功能时才需要。集群里有对的数据——这点最容易被忽略见 第 7 节。Observability app 最好连一个有 OpenTelemetry 数据的集群比如跑着 OTel Demo 的那套。3. 第一步拿到连接信息安装过程中会让你填两样东西Elasticsearch URL和API key。提前备好。Elasticsearch URL登录 Elastic Cloud 控制台进入你的 Deployment直接复制 Elasticsearch endpoint形如https://deployment.es.region.csp.elastic-cloud.com。不要手敲域名拼复制最稳。API key在 Kibana 里Stack Management → Security → API keys → Create API key。建议给最小权限不要图省事直接用超级用户。Security 仓库里有一份「最小权限」文档见仓库 PR #18 / docs列出了 app 实际会读哪些索引Observability app 则需要对你的 APM/指标索引有读权限若用告警还需 Kibana Alerting 的相应权限。按各自仓库的权限说明配。Kibana URL可选如果要用告警/Case/Attack Discovery把 Kibana 的访问地址也备上。不填 KibanaObservability 的告警工具会以只读方式运行4. 第二步安装 Observability app一键 .mcpb下载安装包https://github.com/elastic/example-mcp-app-observability/releases/latest/download/example-mcp-app-observability.mcpb双击下载到的 .mcpb文件。Claude Desktop 会弹出安装对话框。在对话框里填入第 3 步准备好的 Elasticsearch URL 和 API key要用告警就再填 Kibana URL。确认安装。装好后在 Claude Desktop 的设置里能看到这个 MCP server 已连接。到这里工具已经装上了。但还差一步——技能Skills。5. 第三步装 Skills别漏.mcpb只带了 工具本身没带教 Claude 什么时候、怎么调用这些工具 的技能。技能要单独上传。回到 release 页面下载各个技能 zipobserve.zip、manage-alerts.zip、ml-anomalies.zip、apm-health-summary.zip、apm-service-dependencies.zip、k8s-blast-radius.zip在 Claude Desktop 里Customize → Skills → Create Skill → Upload a skill逐个上传。以后 app 升级了新版本记得重新上传技能——光重启 Claude 不会刷新技能内容。6. 第四步试用直接在 Claude 对话里用大白话提问技能会引导 Claude 选对工具。几个可以照抄的起手 prompt先看整体健康最适合第一条看一下我集群现在的整体健康状况。查依赖关系frontend 这个服务依赖哪些下游调用量和延迟怎么样找异常需要先配过 ML job过去一小时有什么异常评估 K8s 节点下线影响需要 kubeletstats 指标如果某个节点下线会影响哪些服务临时跑个查询 / 盯一个指标不挑数据格式把过去 30 分钟 checkout 服务的 p99 延迟拉一个实时图。如果界面是空的、或提示查不到数据先别怀疑装错了——大概率是数据格式问题看下一节。7. 一个关键前提数据格式决定你能看到什么这是最常见的以为装坏了的坑。这些 app 的界面分两类一类是专用视图——服务依赖图、进程树、攻击链、K8s 影响面这些。它们写死了索引模式和字段名因为这种丰富的可视化本来就建立在假设了一套已知 schema之上进程树要有进程父子字段才画得出来。你的数据不在它假设的格式里查询返回空界面就是白板。这不是 bug。Observability app 走的是在几套已知 schema 之间回退优先查 OTel-native 数据没有再退到经典 APM再退到 ECS。所以它对 OpenTelemetry 数据支持最好纯自定义格式的日志驱动不了apm-*和k8s-blast-radius这几个工具。Security app 是三个里最依赖固定 schema 的——它本质是 Elastic Security 解决方案的另一套 UI需要检测告警、ECS 字段、规则和 Case。空集群上想演示用它自带的样例数据生成工具先造一批 ECS 安全事件。另一类是通用视图——Observability 的observe、manage-alerts以及整个 Dashbuilder。它们运行时先探你的索引和字段再现写 ES|QL不挑数据格式你的数据长什么样都能跑。一句话总结界面越专用好看对数据格式要求越死越通用灵活越不挑数据。装之前先想清楚你的集群里有没有对应的数据。8. 加装另外两个 appSecurity app同样一键.mcpb和 Observability 流程一样去 Security release 页 下载.mcpb双击安装填 ES URL / API key多数功能还要 Kibana URL再按需上传它的技能。没真实告警数据时用它的样例生成器铺数据。Dashbuilder也支持一键安装该仓库现已提供一键安装包无需手动拉取源码、安装依赖一、Claude Desktop最简单双击安装1. 直接下载官方.mcpb一键包https://github.com/elastic/example-mcp-dashbuilder/releases/download/v1.0.0/example-mcp-dashbuilder.mcpb2. 双击文件Claude Desktop 会自动安装3. 按提示输入你的 Elasticsearch 凭证即可使用二、Cursor / Claude Code / VS Code免克隆、免 npm 安装直接在 MCP 配置文件中指向官方发布包无需 git clone / npm install{ mcpServers: { example-mcp-dashbuilder: { type: stdio, command: npx, args: [ https://github.com/elastic/example-mcp-dashbuilder/releases/latest/download/example-mcp-dashbuilder.tgz ] } } }凭证配置方式二选一1.环境变量配置ES_NODE、ES_API_KEY或ES_USERNAME/ES_PASSWORD、KIBANA_URL2.源码配置可选克隆仓库后执行npm run setup向导配置重启 Desktop 即连。它不挑数据格式连任何有数据的集群都能用试一句探索一下我的索引给我建一个尽可能有洞察的仪表盘。9. 常见问题排查现象可能原因界面空白 / 提示无数据集群里没有对应格式的数据见第 7 节或 API key 缺对应索引的读权限双击.mcpb没反应没装 Claude Desktop或不是用 Desktop 打开工具装了但 Claude 不主动用技能Skills没上传见第 5 节告警 / Case / Attack Discovery 不可用没填 Kibana URL或 key 缺 Kibana 权限升级后行为没变技能要重新上传光重启不刷新下载.mcpb/ zip 失败检查到 GitHub releases 的网络访问10. 反馈与获取帮助三个仓库的 GitHub Issues 是唯一反馈渠道回复尽力而为。再次提醒Technical Preview非官方支持不要上生产。附版本与链接撰写时Observability appv1.0.16 ·github.com/elastic/example-mcp-app-observabilitySecurity appv1.0.5 ·github.com/elastic/example-mcp-app-securityDashbuilderv1.0.0 ·github.com/elastic/example-mcp-dashbuilder介绍文章elastic.co/search-labs/blog/mcp-apps-elasticreleases/latest链接会自动指向最新版具体版本号和资产名以 release 页面实际显示为准。原文Elastic MCP Apps 入门安装与试用