Cómo determinar el usuario que realizó cambios de configuración cuando Config Audit dice 'Committed by Description'

Cómo determinar el usuario que realizó cambios de configuración cuando Config Audit dice 'Committed by Description'

16934
Created On 11/27/20 08:50 AM - Last Modified 11/05/21 02:33 AM


Symptom


  • Algunos cambios de configuración se ven en uno de los dispositivos activos/pasivos de alta disponibilidad (vamos a referirnos a él como A par).
  • La auditoría de configuración muestra que los cambios se confirmaron mediante el nombre de usuario 'Descripción':
 
Imagen de usuario añadido

 

Environment


 
  • Cualquier firewall par en configuración activa/pasiva de alta disponibilidad.
  • HA'config sync' está habilitado en el clúster.
  • El HA estado 'config sync' muestra 'In sync' en ambos dispositivos justo después de observar la confirmación dudosa:
 
Imagen de usuario añadido

 

Cause


La alta disponibilidad 'Config sync' emitida por un dispositivo en el HA clúster B (Peer) empujará los cambios a otro dispositivo y se realizará una confirmación local en el receptor firewall A (par). El nombre de usuario asociado a esta confirmación será 'Descripción' en lugar de un usuario/administrador real declarado en el firewall archivo .

 

Resolution


Para averiguar al usuario que inició una 'sincronización de configuración' usando el par B (y finalmente causó la confirmación en A el par), los registros del sistema (monitor > registros > sistema) en el dispositivo del par B se deben buscar alrededor del momento de la confirmación que se observó en el PeerA.
Los registros relacionados con ' HA ' mostrarán el nombre de usuario real del usuario/administrador responsable:
Imagen de usuario añadido

Additional Information


  • La "sincronización de configuración de alta disponibilidad" podría ser emitida por un dispositivo sin ninguna intervención del usuario debido a varias razones, por ejemplo, uno de los firewalls en el clúster reiniciado, la inversión de configuración en un dispositivo, etc.
  • Como recomendación de buenas prácticas, si surge la necesidad, la sincronización de configuración manual debe emitirse desde el dispositivo activo para asegurarse de que las configuraciones correctas y más recientes se copian al pasivo firewall (no al revés).
  • El HA mecanismo de sincronización de configuración no se encarga de sincronizar las configuraciones que se insertan o administran desde un Panorama dispositivo.
  • Puede encontrar más detalles sobre cómo utilizar la auditoría de configuración aquí: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEvCAK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBmWCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language