So ermitteln Sie den Benutzer, der Konfigurationsänderungen vorgenommen hat, wenn Config Audit "Committed by Description" sagt
16938
Created On 11/27/20 08:50 AM - Last Modified 11/05/21 02:33 AM
Symptom
- Einige Konfigurationsänderungen werden auf einem der Active/Passive-Geräte mit hoher Verfügbarkeit angezeigt (siehe Peer A ).
- Config Audit zeigt, dass die Änderungen durch den Benutzernamen "Beschreibung" vorgenommen wurden:
Environment
- Jedes Paar in der firewall Active/Passive Konfiguration mit hoher Verfügbarkeit.
- HA'Config sync' ist im Cluster aktiviert.
- ' HA config sync' Status zeigt 'In sync' auf beiden Geräten direkt nach dem zweifelhaften Commit beobachtet wurde:
Cause
Die von einem Gerät auf dem Cluster (Peer ) ausgegebene "Config Sync" mit hoher Verfügbarkeit HA wird die Änderungen auf ein anderes Gerät B übertragen, und ein lokaler Commit wird auf dem empfangenden firewall Gerät (Peer) A ausgeführt. Der diesem Commit zugeordnete Benutzername ist "Beschreibung" anstelle eines tatsächlichen Benutzers/Administrators, der auf der deklariert firewall ist.
Resolution
Um herauszufinden, dass der Benutzer, der eine "Config sync" mit Peer initiiert B hat (und letztendlich den Commit auf Peer verursacht A hat), die Systemprotokolle (Monitor > Logs > System) auf dem Peer-Gerät um B den Zeitpunkt des Commits durchsucht werden, der auf PeerA beobachtet wurde.
Die Protokolle im Zusammenhang mit ' HA ' zeigen den tatsächlichen Benutzernamen des verantwortlichen Benutzers/Administrators an:
Additional Information
- Die "High Availability config sync" kann von einem Gerät ohne Benutzereingriff aus verschiedenen Gründen ausgegeben werden, z. B. eine der Firewalls im Cluster neu gestartet, Config Reversal auf einem Gerät usw.
- Als Empfehlung für bewährte Verfahren sollte bei Bedarf die manuelle Konfigurationssynchronisierung vom Active-Gerät ausgegeben werden, um sicherzustellen, dass die richtigen und neuesten Konfigurationen in das Passive kopiert werden firewall (nicht umgekehrt).
- Der HA Konfigurationssynchronisierungsmechanismus kümmert sich nicht um die Synchronisierung von Konfigurationen, die von einem Gerät übertragen/verwaltet Panorama werden.
- Weitere Informationen zur Verwendung von Config Audit finden Sie hier: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEvCAK