SSM Agent sudah ketinggalan zaman Memecahkan masalah menggunakan SSM Agent berkas log File log agen tidak berputar (Windows)Tidak dapat terhubung ke titik SSM akhir Verifikasi VPC konfigurasi Anda Verifikasi VPC DNS atribut terkait Anda Verifikasi aturan masuk dan keluar pada grup keamanan endpoint Gunakan ssm-cli untuk memecahkan masalah ketersediaan node terkelola

Pemecahan Masalah SSM Agent

Jika Anda mengalami masalah saat menjalankan operasi pada node terkelola, mungkin ada masalah dengan AWS Systems Manager Agen (SSM Agent). Gunakan informasi berikut untuk membantu Anda melihat SSM Agent log file dan memecahkan masalah agen.

Topik

SSM Agent sudah ketinggalan zaman
Memecahkan masalah menggunakan SSM Agent berkas log
File log agen tidak berputar (Windows)
Tidak dapat terhubung ke titik SSM akhir
Verifikasi VPC konfigurasi Anda
Verifikasi VPC DNS atribut terkait Anda
Verifikasi aturan masuk dan keluar pada grup keamanan endpoint
Gunakan ssm-cli untuk memecahkan masalah ketersediaan node terkelola

SSM Agent sudah ketinggalan zaman

Versi terbaru dari SSM Agent dirilis setiap kali kemampuan baru ditambahkan ke Systems Manager atau pembaruan dibuat untuk kemampuan yang ada. Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai kemampuan dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses penyimpanan SSM Agent up to date pada mesin Anda. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Berlangganan ke SSM AgentHalaman Catatan Rilis di GitHub untuk mendapatkan notifikasi tentang SSM Agent pembaruan.

Memecahkan masalah menggunakan SSM Agent berkas log

SSM Agent log informasi dalam file-file berikut. Informasi dalam file ini juga dapat membantu Anda memecahkan masalah. Untuk informasi lebih lanjut tentang SSM Agent file log, termasuk cara mengaktifkan logging debug, lihatMelihat SSM Agent log.

catatan

Jika Anda memilih untuk melihat log ini menggunakan Windows File Explorer, pastikan untuk mengizinkan tampilan file tersembunyi dan file sistem dalam Opsi Folder.

Di Windows

%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Di Linux dan macOS

/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log

Untuk node terkelola Linux, Anda mungkin menemukan informasi lebih lanjut dalam messages file yang ditulis ke direktori berikut:/var/log.

Untuk informasi tambahan tentang pemecahan masalah menggunakan log agen, lihat Bagaimana cara menggunakan SSM Agent log untuk memecahkan masalah dengan SSM Agent dalam contoh terkelola saya? di Pusat Pengetahuan AWS RE: Post.

File log agen tidak berputar (Windows)

Jika Anda menentukan rotasi file log berbasis tanggal dalam file seelog.xml (pada Windows Server node terkelola) dan log tidak berputar, tentukan fullname=true parameternya. Berikut adalah contoh dari file konfigurasi seelog.xml dengan parameter fullname=true yang ditentukan.



<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Tidak dapat terhubung ke titik SSM akhir

SSM Agent harus mengizinkan HTTPS (port 443) lalu lintas keluar ke titik akhir berikut:

ssm.region.amazonaws.com
ssmmessages.region.amazonaws.com

region mewakili pengenal untuk yang Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah AS Timur (Ohio). Untuk daftar yang didukung region nilai, lihat kolom Region di titik akhir layanan Systems Manager di. Referensi Umum Amazon Web Services

catatan

Sebelum 2024, ec2messages.region.amazonaws.com juga diperlukan. Untuk Wilayah AWS diluncurkan sebelum 2024, memungkinkan lalu lintas masih ssmmessages.region.amazonaws.com diperlukan tetapi opsional untukec2messages.region.amazonaws.com.

Untuk Wilayah yang diluncurkan pada tahun 2024 dan yang lebih baru, memungkinkan lalu lintas ke ssmmessages.region.amazonaws.com diperlukan, tetapi ec2messages.region.amazonaws.com titik akhir tidak didukung untuk Wilayah ini.

SSM Agent tidak akan berfungsi jika tidak dapat berkomunikasi dengan titik akhir sebelumnya, seperti yang dijelaskan, bahkan jika Anda menggunakan yang disediakan AWS Amazon Machine Images (AMIs) seperti Amazon Linux 2 atau Amazon Linux 2023. Konfigurasi jaringan Anda harus memiliki akses internet terbuka atau Anda harus memiliki titik akhir virtual private cloud (VPC) kustom yang dikonfigurasi. Jika Anda tidak berencana membuat VPC titik akhir khusus, periksa gateway atau gateway internet Anda. NAT Untuk informasi selengkapnya tentang cara mengelola VPC titik akhir, lihatMeningkatkan keamanan EC2 instans dengan menggunakan VPC endpoint untuk Systems Manager.

Verifikasi VPC konfigurasi Anda

Untuk mengelola EC2 instance dengan Systems Manager, VPC titik akhir Anda harus dikonfigurasi dengan benar untuk ssm.region.amazonaws.com.rproxy.goskope.comssmmessages.region.amazonaws.com, dan dalam beberapa kasus dijelaskan sebelumnya dalam topik ini di,. Tidak dapat terhubung ke titik SSM akhir ec2messages.region.amazonaws.com Konfigurasi jaringan Anda harus memiliki akses internet terbuka atau Anda harus memiliki titik akhir virtual private cloud (VPC) yang dikonfigurasi.

Untuk memecahkan masalah dengan VPC titik akhir Anda, lakukan hal berikut:

Pastikan bahwa VPC titik akhir disertakan di VPC level tersebut. Jika VPC titik akhir dengan nama layanan tertentu tidak ditemukan diVPC, pertama-tama verifikasi bahwa DNS dukungan diaktifkan di VPC tingkat tersebut. Selanjutnya, buat VPC endpoint baru dan kaitkan dengan satu subnet di setiap Availability Zone.
Pastikan bahwa DNS nama pribadi diaktifkan pada tingkat VPC titik akhir. DNSNama pribadi diaktifkan secara default tetapi mungkin telah dinonaktifkan secara manual di beberapa titik.
Pastikan bahwa VPC titik akhir yang ada terkait dengan subnet yang tepat. Selain itu, pastikan bahwa sudah VPCE dikaitkan dengan subnet di Availability Zone tersebut.

Untuk informasi selengkapnya, lihat topik berikut.

Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan AWS PrivateLink
Kaitkan DNS nama pribadi di AWS PrivateLink Panduan
Meningkatkan keamanan EC2 instans dengan menggunakan VPC endpoint untuk Systems Manager

Verifikasi VPC DNS atribut terkait Anda

Sebagai bagian dari memverifikasi VPC konfigurasi Anda, pastikan bahwa atribut enableDnsSupport dan enableDnsHostnames diaktifkan.

Anda dapat mengaktifkan atribut ini menggunakan odifyVPCAttribute API tindakan Amazon EC2 M atau AWS CLI perintah modify-vpc-attribute.

Untuk informasi tentang mengaktifkan atribut ini di VPC Konsol Amazon, lihat Melihat dan memperbarui DNS atribut untuk Anda VPC di Panduan VPC Pengguna Amazon.

Verifikasi aturan masuk dan keluar pada grup keamanan endpoint

Pastikan bahwa setiap VPC titik akhir yang telah Anda konfigurasikan (ssmssmmessages,, danec2messages) menyertakan aturan masuk dan keluar pada grup keamanan mereka untuk memungkinkan lalu lintas masuk dan keluar pada port 443. Jika perlu, Anda dapat membuat grup keamanan baru dalam aturan VPC dengan satu ingress dan satu aturan keluar untuk mengizinkan lalu lintas pada port 443 untuk blok Classless Inter-Domain Routing () untuk. CIDR VPC Setelah Anda membuat grup keamanan, lampirkan ke setiap VPC titik akhir.

Untuk informasi selengkapnya, lihat topik berikut.

Bagaimana cara membuat VPC endpoint sehingga saya dapat menggunakan Systems Manager untuk mengelola EC2 instans pribadi tanpa akses internet? di AWS re:post
VPCCIDRblok di Panduan VPC Pengguna Amazon

Gunakan `ssm-cli` untuk memecahkan masalah ketersediaan node terkelola

Dimulai dengan SSM Agent versi 3.1.501.0, Anda dapat menggunakan ssm-cli untuk menentukan apakah node terkelola memenuhi persyaratan utama yang akan dikelola oleh Systems Manager, dan untuk muncul dalam daftar node terkelola di Fleet Manager. ssm-cliIni adalah alat baris perintah mandiri yang termasuk dalam SSM Agent instalasi. Perintah yang telah dikonfigurasi sebelumnya disertakan yang mengumpulkan informasi yang diperlukan untuk membantu Anda mendiagnosis mengapa EC2 instans Amazon atau EC2 non-mesin yang telah Anda konfirmasi berjalan tidak disertakan dalam daftar node terkelola di Systems Manager. Perintah ini dijalankan ketika Anda menentukan get-diagnostics opsi.

Untuk informasi selengkapnya, lihat Memecahkan masalah ketersediaan node terkelola menggunakan ssm-cli.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Berlangganan notifikasi SSM Agent

Quick Setup