Pemecahan Masalah SSM Agent - AWS Systems Manager
SSM Agent kedaluwarsaMemecahkan masalah menggunakan SSM Agent berkas logFile log agen tidak berputar (Windows)Tidak dapat terhubung ke titik akhir SSMVerifikasi konfigurasi VPC AndaVerifikasi atribut terkait DNS VPCVerifikasi aturan ingress pada grup keamanan endpointGunakan ssm-cli untuk memecahkan masalah ketersediaan node terkelola

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemecahan Masalah SSM Agent

Jika Anda mengalami masalah saat menjalankan operasi pada node terkelola, mungkin ada masalah dengan AWS Systems Manager Agen (SSM Agent). Gunakan informasi berikut untuk membantu Anda melihat SSM Agent log file dan memecahkan masalah agen.

SSM Agent kedaluwarsa

Versi terbaru dari SSM Agent dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses penyimpanan SSM Agent up to date pada mesin Anda. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Berlangganan ke SSM AgentHalaman Catatan Rilis di GitHub untuk mendapatkan notifikasi tentang SSM Agent pembaruan.

Memecahkan masalah menggunakan SSM Agent berkas log

SSM Agent log informasi dalam file-file berikut. Informasi dalam file ini juga dapat membantu Anda memecahkan masalah. Untuk informasi lebih lanjut tentang SSM Agent file log, termasuk cara mengaktifkan logging debug, lihatMelihat SSM Agent log.

catatan

Jika Anda memilih untuk melihat log ini menggunakan Windows File Explorer, pastikan untuk mengizinkan tampilan file tersembunyi dan file sistem dalam Opsi Folder.

Di Windows

  • %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

  • %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Di Linux dan macOS

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

Untuk node terkelola Linux, Anda mungkin menemukan informasi lebih lanjut dalam messages file yang ditulis ke direktori berikut: /var/log

Untuk informasi tambahan tentang pemecahan masalah menggunakan log agen, lihat Bagaimana cara menggunakan SSM Agent log untuk memecahkan masalah dengan SSM Agent dalam contoh terkelola saya? di Pusat Pengetahuan AWS RE: Post.

File log agen tidak berputar (Windows)

Jika Anda menentukan rotasi file log berbasis tanggal dalam file seelog.xml (pada Windows Server node terkelola) dan log tidak berputar, tentukan fullname=true parameternya. Berikut adalah contoh dari file konfigurasi seelog.xml dengan parameter fullname=true yang ditentukan.


<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Tidak dapat terhubung ke titik akhir SSM

SSM Agent harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

regionmewakili pengenal untuk yang Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah AS Timur (Ohio). Untuk daftar region nilai yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

catatan

Sebelum 2024, ec2messages.region.amazonaws.com juga diperlukan. Untuk Wilayah AWS diluncurkan sebelum 2024, memungkinkan lalu lintas masih ssmmessages.region.amazonaws.com diperlukan tetapi opsional untukec2messages.region.amazonaws.com.

Untuk Wilayah yang diluncurkan pada tahun 2024 dan yang lebih baru, memungkinkan lalu lintas ke ssmmessages.region.amazonaws.com diperlukan, tetapi ec2messages.region.amazonaws.com titik akhir tidak didukung untuk Wilayah ini.

SSM Agent tidak akan berfungsi jika tidak dapat berkomunikasi dengan titik akhir sebelumnya, seperti yang dijelaskan, bahkan jika Anda menggunakan yang disediakan AWS Amazon Machine Images (AMIs) seperti Amazon Linux 2 atau Amazon Linux 2023. Konfigurasi jaringan Anda harus memiliki akses internet terbuka atau Anda harus memiliki titik akhir virtual private cloud (VPC) khusus yang dikonfigurasi. Jika Anda tidak berencana untuk membuat VPC endpoint khusus, periksa gateway internet atau gateway NAT Anda. Untuk informasi lebih lanjut tentang cara mengelola VPC endpoint, lihat Meningkatkan keamanan EC2 instans dengan menggunakan titik akhir VPC untuk Systems Manager.

Verifikasi konfigurasi VPC Anda

Untuk mengelola EC2 instance dengan Systems Manager, titik akhir VPC Anda harus dikonfigurasi dengan benar ssm.region.amazonaws.com.rproxy.goskope.comssmmessages.region.amazonaws.com, dan dalam beberapa kasus dijelaskan sebelumnya dalam topik ini di,. Tidak dapat terhubung ke titik akhir SSM ec2messages.region.amazonaws.com Konfigurasi jaringan Anda harus memiliki akses internet terbuka atau Anda harus memiliki titik akhir virtual private cloud (VPC) ini yang dikonfigurasi.

Untuk memecahkan masalah dengan titik akhir VPC Anda, lakukan hal berikut:

  • Pastikan titik akhir VPC disertakan pada level VPC. Jika titik akhir VPC dengan nama layanan tertentu tidak ditemukan di VPC, pertama-tama verifikasi bahwa dukungan DNS diaktifkan di tingkat VPC. Selanjutnya, buat titik akhir VPC baru dan kaitkan dengan satu subnet di setiap Availability Zone.

  • Pastikan bahwa nama DNS pribadi diaktifkan pada tingkat titik akhir VPC. Nama DNS pribadi diaktifkan secara default tetapi mungkin telah dinonaktifkan secara manual di beberapa titik.

  • Pastikan titik akhir VPC yang ada terkait dengan subnet yang tepat. Selain itu, pastikan bahwa VPCE sudah dikaitkan dengan subnet di Availability Zone tersebut.

Untuk informasi selengkapnya, lihat topik berikut.

Verifikasi atribut terkait DNS VPC

Sebagai bagian dari memverifikasi konfigurasi VPC Anda, pastikan bahwa atribut enableDnsSupport dan enableDnsHostnames diaktifkan.

Anda dapat mengaktifkan atribut ini menggunakan tindakan Amazon EC2 Modify VPCAttribute API atau AWS CLI perintah modify-vpc-attribute.

Untuk informasi tentang mengaktifkan atribut ini di Konsol VPC Amazon, lihat Melihat dan memperbarui atribut DNS untuk VPC Anda di Panduan Pengguna Amazon VPC.

Verifikasi aturan ingress pada grup keamanan endpoint

Pastikan bahwa setiap titik akhir VPC yang telah Anda konfigurasikan (ssm,ssmmessages, danec2messages) menyertakan aturan masuk pada grup keamanan mereka untuk mengizinkan lalu lintas di port 443. Jika perlu, Anda dapat membuat grup keamanan baru di VPC dengan aturan masuk untuk mengizinkan lalu lintas pada port 443 untuk blok Classless Inter-Domain Routing (CIDR) untuk VPC. Setelah Anda membuat grup keamanan, lampirkan ke setiap titik akhir VPC.

Untuk informasi selengkapnya, lihat topik berikut.

Gunakan ssm-cli untuk memecahkan masalah ketersediaan node terkelola

Dimulai dengan SSM Agent versi 3.1.501.0, Anda dapat menggunakan ssm-cli untuk menentukan apakah node terkelola memenuhi persyaratan utama yang akan dikelola oleh Systems Manager, dan untuk muncul dalam daftar node terkelola di Fleet Manager. ssm-cliIni adalah alat baris perintah mandiri yang termasuk dalam SSM Agent instalasi. Perintah yang telah dikonfigurasi sebelumnya disertakan yang mengumpulkan informasi yang diperlukan untuk membantu Anda mendiagnosis mengapa EC2 instans Amazon atau EC2 non-mesin yang telah Anda konfirmasi berjalan tidak disertakan dalam daftar node terkelola di Systems Manager. Perintah ini dijalankan ketika Anda menentukan get-diagnostics opsi.

Untuk informasi selengkapnya, lihat Memecahkan masalah ketersediaan node terkelola menggunakan ssm-cli.