Comment déterminer l’utilisateur qui a apporté des modifications de configuration lorsque Config Audit dit « Engagé par description »
16944
Created On 11/27/20 08:50 AM - Last Modified 11/05/21 02:33 AM
Symptom
- Certains changements de config sont observés sur l’un des périphériques actifs/passifs à haute disponibilité (appelons-le A Peer).
- Config Audit montre que les modifications ont été commises par nom d’utilisateur « Description » :
Environment
- firewallN’importe quelle paire sur la configuration active/passive à haute disponibilité.
- HA'config sync' est activé sur le cluster.
- HAL’état de « synchronisation config » affiche « En synchronisation » sur les deux appareils juste après l’observé du commit douteux :
Cause
Haute disponibilité 'Config sync' émis par un appareil sur HA le cluster (Peer B ) poussera les modifications à d’autres périphériques et un commit local sera effectué sur la réception firewall (Peer A ). Le nom d’utilisateur associé à ce commit sera « Description » au lieu d’un utilisateur/administrateur réel déclaré sur le firewall .
Resolution
Afin de savoir l’utilisateur qui a initié une « synchronisation Config » en utilisant Peer (et a finalement causé le commit sur Peer), les B journaux système A (Monitor > Logs > System) sur l’appareil Peer doivent être recherchés au moment de la validation qui a B été observé sur PeerA.
Les journaux liés à ' HA ' affichera le nom d’utilisateur réel de l’utilisateur responsable / administrateur:
Additional Information
- La « synchronisation config haute disponibilité » pourrait être émise par un appareil sans aucune intervention de l’utilisateur pour diverses raisons, par exemple l’un des pare-feu dans le cluster redémarré, config inversion sur un appareil, etc.
- Comme recommandation de bonnes pratiques, si le besoin s’en fait sentir, la synchronisation de config manuelle doit être émise à partir de l’appareil Active pour s’assurer que les configurations correctes et les dernières sont copiées sur le Passif firewall (et non l’inverse).
- Le HA mécanisme de synchronisation config ne prend pas soin de synchroniser les configurations qui sont poussées/gérées à partir d’un Panorama appareil.
- Pour plus de détails sur l’utilisation de Config Audit, cliquez ici : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEvCAK