Comment déterminer l’utilisateur qui a apporté des modifications de configuration lorsque Config Audit dit « Engagé par description »

Comment déterminer l’utilisateur qui a apporté des modifications de configuration lorsque Config Audit dit « Engagé par description »

16944
Created On 11/27/20 08:50 AM - Last Modified 11/05/21 02:33 AM


Symptom


  • Certains changements de config sont observés sur l’un des périphériques actifs/passifs à haute disponibilité (appelons-le A Peer).
  • Config Audit montre que les modifications ont été commises par nom d’utilisateur « Description » :
 
Image ajoutée par l'utilisateur

 

Environment


 
  • firewallN’importe quelle paire sur la configuration active/passive à haute disponibilité.
  • HA'config sync' est activé sur le cluster.
  • HAL’état de « synchronisation config » affiche « En synchronisation » sur les deux appareils juste après l’observé du commit douteux :
 
Image ajoutée par l'utilisateur

 

Cause


Haute disponibilité 'Config sync' émis par un appareil sur HA le cluster (Peer B ) poussera les modifications à d’autres périphériques et un commit local sera effectué sur la réception firewall (Peer A ). Le nom d’utilisateur associé à ce commit sera « Description » au lieu d’un utilisateur/administrateur réel déclaré sur le firewall .

 

Resolution


Afin de savoir l’utilisateur qui a initié une « synchronisation Config » en utilisant Peer (et a finalement causé le commit sur Peer), les B journaux système A (Monitor > Logs > System) sur l’appareil Peer doivent être recherchés au moment de la validation qui a B été observé sur PeerA.
Les journaux liés à ' HA ' affichera le nom d’utilisateur réel de l’utilisateur responsable / administrateur:
Image ajoutée par l'utilisateur

Additional Information


  • La « synchronisation config haute disponibilité » pourrait être émise par un appareil sans aucune intervention de l’utilisateur pour diverses raisons, par exemple l’un des pare-feu dans le cluster redémarré, config inversion sur un appareil, etc.
  • Comme recommandation de bonnes pratiques, si le besoin s’en fait sentir, la synchronisation de config manuelle doit être émise à partir de l’appareil Active pour s’assurer que les configurations correctes et les dernières sont copiées sur le Passif firewall (et non l’inverse).
  • Le HA mécanisme de synchronisation config ne prend pas soin de synchroniser les configurations qui sont poussées/gérées à partir d’un Panorama appareil.
  • Pour plus de détails sur l’utilisation de Config Audit, cliquez ici : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEvCAK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBmWCAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language