構成監査に「説明によってコミット」と表示された場合に構成変更を行ったユーザーを特定する方法
16936
Created On 11/27/20 08:50 AM - Last Modified 11/05/21 02:33 AM
Symptom
- 一部の構成変更は、高可用性アクティブ/パッシブ デバイスの 1 つで確認されます (ピアと呼びましょう A )。
- 構成監査は、変更が '説明' ユーザー名によってコミットされたことを示します。
Environment
- firewall高可用性アクティブ/パッシブ構成の任意のペア。
- ' HA 構成同期' はクラスターで有効になっています。
- 'config HA sync' ステータスは、疑わしいコミットが観察された直後に両方のデバイスで'In sync' と表示されます。
Cause
クラスタ上の 1 つのデバイス (Peer) によって発行された高可用性 'Config sync' HA B は、変更を他のデバイスにプッシュし、ローカル コミットが受信側 firewall (ピア) で実行されます A 。 このコミットに関連付けられたユーザー名は、 で宣言された実際のユーザー/管理者の代わりに '説明' になります firewall 。
Resolution
ピアを使用して「Config sync」を開始したユーザーを見つける B ため (最終的にはピア上でコミットを行 A った)、ピア デバイスのシステム ログ (モニタ > ログ > システム) は B 、PeerA で監視されたコミットの時点で検索する必要があります。
' ' に関連するログ HA には、担当ユーザー/管理者の実際のユーザー名が表示されます。
Additional Information
- 「高可用性構成同期」は、クラスター内のファイアウォールの 1 つが再起動、1 つのデバイスでの構成の逆転など、さまざまな理由により、ユーザーの介入なしにデバイスによって発行される可能性があります。
- 推奨される推奨として、必要に応じて、正しい構成と最新の構成がパッシブ (逆ではなく) パッシブにコピーされるように、手動構成同期を Active デバイスから発行する必要があります firewall 。
- HA構成同期メカニズムは、デバイスからプッシュ/管理される同期構成の処理を行いません Panorama 。
- 構成監査の使用方法の詳細については、こちらをご覧 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEvCAKください。