在EC2上使用SOF-ELK管理M365统一审计日志（三部分之二）

在《管理M365统一审计日志》的第一部分中，我们讨论了统一审计日志(UAL)的价值、获取/解析/查询UAL数据面临的挑战，以及使用PowerShell和本地安装的SOF-ELK虚拟机解决这些问题的策略。本文将重点介绍如何在EC2上部署SOF-ELK，从而获得更好的可移植性、灵活性和扩展性。

虽然下载预打包的虚拟机在本地运行是最快捷的方式，但当您需要额外计算资源、与他人协作调查或利用云端数据时，在EC2上部署SOF-ELK值得额外投入。

部署步骤：

1. 准备OVA文件：
   • 使用VMWare导出OVF时，务必指定".ova"扩展名
   • 或通过命令行工具ovftool转换：ovftool source.vmx target.ova
2. AWS环境配置： - 创建S3存储桶（注意区域匹配）：aws s3 mb s3://your-bucket-name --region us-east-1 - 配置vmimport服务角色和策略（需修改bucket名称）：{ "Version":"2012-10-17", "Statement":[ { "Effect": "Allow", "Action": "s3:GetBucketLocation","s3:GetObject","s3:ListBucket", "Resource": "arn:aws:s3:::your-bucket-name","arn:aws:s3:::your-bucket-name/*" } ] }
3. 镜像导入：
   • 上传OVA到S3：aws s3 cp sof-elk.ova s3://your-bucket-name/
   • 使用containers.json文件启动导入任务：aws ec2 import-image --description "SOF-ELK" --disk-containers file://containers.json
4. EC2实例配置：
   • 从AMI启动实例时选择t3.medium类型
   • 关键安全组配置：仅允许内部EC2实例通过TCP 22/5601访问
   • 使用默认凭证登录后访问5601端口验证部署

安全提醒：

• 切勿向公网开放SSH访问
• 建议创建自引用安全组
• 始终使用私有IP进行内部通信

完成部署后，您就可以充分利用EC2的弹性优势来处理M365审计日志了。下一部分将探讨如何处理CSV格式的UAL导出数据。