Elasticsearch 8.18 introduce una nueva característica de JOIN al estilo SQL llamada LOOKUP JOIN, que permite la correlación y el enriquecimiento de datos con conjuntos de datos de búsqueda (lookup) fácilmente actualizables. Esta característica está disponible como "tech preview" (vista previa técnica) y permite a los usuarios agregar información de hosts y activos a eventos, verificar direcciones IP contra listas de inteligencia de amenazas, y más. Lookup Join es un LEFT OUTER JOIN que se basa en un nuevo modo de índice llamado "lookup" para el lado derecho, que puede actualizarse directamente. El índice de búsqueda puede contener varios tipos de datos, como activos, datos de inteligencia de amenazas, información de pedidos, información de empleados o clientes, y más. Históricamente, Elasticsearch carecía de la capacidad de JOIN, pero Lookup Join aborda esta limitación. Para habilitar los Lookup Joins, se creó un nuevo modo de índice llamado "lookup", que está limitado a 2 mil millones de documentos y es directamente actualizable. No existen restricciones en los datos de origen y no se requiere preparación de datos para realizar un join. Lookup Join es más fácil de configurar y administrar que el comando ENRICH en ES|QL, con beneficios como la ausencia de políticas de enriquecimiento que crear, la ausencia de ejecución de políticas y un mejor manejo de múltiples coincidencias. Los usuarios pueden crear índices de búsqueda de varias maneras, incluso a través de la administración de índices o el cargador de archivos ML en Kibana. Las posibilidades de usar Lookup Join son infinitas, y los desarrollos futuros pueden incluir otros tipos de joins, como los INNER joins o las subconsultas, y uniones contra cualquier índice.