Cómo determinar el usuario que realizó cambios de configuración cuando Config Audit dice 'Committed by Description'
16934
Created On 11/27/20 08:50 AM - Last Modified 11/05/21 02:33 AM
Symptom
- Algunos cambios de configuración se ven en uno de los dispositivos activos/pasivos de alta disponibilidad (vamos a referirnos a él como A par).
- La auditoría de configuración muestra que los cambios se confirmaron mediante el nombre de usuario 'Descripción':
Environment
- Cualquier firewall par en configuración activa/pasiva de alta disponibilidad.
- HA'config sync' está habilitado en el clúster.
- El HA estado 'config sync' muestra 'In sync' en ambos dispositivos justo después de observar la confirmación dudosa:
Cause
La alta disponibilidad 'Config sync' emitida por un dispositivo en el HA clúster B (Peer) empujará los cambios a otro dispositivo y se realizará una confirmación local en el receptor firewall A (par). El nombre de usuario asociado a esta confirmación será 'Descripción' en lugar de un usuario/administrador real declarado en el firewall archivo .
Resolution
Para averiguar al usuario que inició una 'sincronización de configuración' usando el par B (y finalmente causó la confirmación en A el par), los registros del sistema (monitor > registros > sistema) en el dispositivo del par B se deben buscar alrededor del momento de la confirmación que se observó en el PeerA.
Los registros relacionados con ' HA ' mostrarán el nombre de usuario real del usuario/administrador responsable:
Additional Information
- La "sincronización de configuración de alta disponibilidad" podría ser emitida por un dispositivo sin ninguna intervención del usuario debido a varias razones, por ejemplo, uno de los firewalls en el clúster reiniciado, la inversión de configuración en un dispositivo, etc.
- Como recomendación de buenas prácticas, si surge la necesidad, la sincronización de configuración manual debe emitirse desde el dispositivo activo para asegurarse de que las configuraciones correctas y más recientes se copian al pasivo firewall (no al revés).
- El HA mecanismo de sincronización de configuración no se encarga de sincronizar las configuraciones que se insertan o administran desde un Panorama dispositivo.
- Puede encontrar más detalles sobre cómo utilizar la auditoría de configuración aquí: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEvCAK