在EC2上使用SOF-ELK管理M365统一审计日志（三部分之二）

在《管理M365统一审计日志》的第一部分中，我们讨论了统一审计日志(UAL)的价值、获取/解析/查询UAL数据面临的挑战，以及使用PowerShell和本地安装的SOF-ELK虚拟机解决这些问题的策略。本文将重点介绍如何在EC2上部署SOF-ELK，从而获得更好的可移植性、灵活性和扩展性。

虽然下载预打包的虚拟机在本地运行是最快捷的方式，但当您需要额外计算资源、与他人协作调查或利用云端数据时，在EC2上部署SOF-ELK值得额外投入。

部署步骤：

1. 准备OVA文件：

   • 使用VMWare导出OVF时，务必指定".ova"扩展名
   • 或通过命令行工具ovftool转换：

     ovftool source.vmx target.ova
     

2. AWS环境配置：

   • 创建S3存储桶（注意区域匹配）：

     aws s3 mb s3://your-bucket-name --region us-east-1
     

   • 配置vmimport服务角色和策略（需修改bucket名称）：

     {
       "Version":"2012-10-17",
       "Statement":[
         {
           "Effect": "Allow",
           "Action": ["s3:GetBucketLocation","s3:GetObject","s3:ListBucket"],
           "Resource": ["arn:aws:s3:::your-bucket-name","arn:aws:s3:::your-bucket-name/*"]
         }
       ]
     }
     

3. 镜像导入：

   • 上传OVA到S3：

     aws s3 cp sof-elk.ova s3://your-bucket-name/
     

   • 使用containers.json文件启动导入任务：

     aws ec2 import-image --description "SOF-ELK" --disk-containers file://containers.json
     

4. EC2实例配置：

   • 从AMI启动实例时选择t3.medium类型
   • 关键安全组配置：仅允许内部EC2实例通过TCP 22/5601访问
   • 使用默认凭证登录后访问5601端口验证部署

安全提醒：

• 切勿向公网开放SSH访问
• 建议创建自引用安全组
• 始终使用私有IP进行内部通信

完成部署后，您就可以充分利用EC2的弹性优势来处理M365审计日志了。下一部分将探讨如何处理CSV格式的UAL导出数据。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码