当配置审核显示"按说明提交"时,如何确定进行配置更改的用户
16940
Created On 11/27/20 08:50 AM - Last Modified 11/05/21 02:33 AM
Symptom
- 一些配置更改在高可用性主动/被动设备上看到(让我们将其称为对等 A)。
- 配置审核显示更改是由"描述"用户名提交:
Environment
- 高可用性主动/被动配置上的任何防火墙对。
- 群集上启用了"HA 配置同步"。
- "HA 配置同步"状态在观察到可疑提交后在两台设备上显示"同步":
Cause
HA 群集(Peer B)上的一台设备发出的高可用性"配置同步"将推动其他设备的更改,并将在接收防火墙 (Peer A) 上执行本地提交。 与此提交关联的用户名将是"描述",而不是防火墙上声明的实际用户/管理员。
Resolution
为了找出使用对等方 B 启动"配置同步"的用户(并最终导致对等体 A 上提交),应在对等体 A 上观察到的提交时间周围搜索对对等 B 设备上的系统日志(监视器 > 日志 > 系统)。
与"HA"相关的日志将显示负责用户/管理员的实际用户名:
Additional Information
- 由于各种原因(例如群集中的防火墙重新启动、一台设备上的配置反转等),设备无需任何用户干预即可发出"高可用性配置同步"。
- 作为一个良好做法建议,如果需要,应从 Active 设备发出手动配置同步,以确保将正确和最新的配置复制到被动防火墙(反之亦然)。
- HA 配置同步机制不处理从全景设备推送/管理的同步配置。
- 有关如何使用配置审核的更多详细信息,请参阅此处:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEvCAK