Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pemecahan Masalah SSM Agent
Jika Anda mengalami masalah saat menjalankan operasi pada node terkelola, mungkin ada masalah dengan AWS Systems Manager Agen (SSM Agent). Gunakan informasi berikut untuk membantu Anda melihat SSM Agent log file dan memecahkan masalah agen.
Topik
- SSM Agent sudah ketinggalan zaman
- Memecahkan masalah menggunakan SSM Agent berkas log
- File log agen tidak berputar (Windows)
- Tidak dapat terhubung ke titik SSM akhir
- Verifikasi VPC konfigurasi Anda
- Verifikasi VPC DNS atribut terkait Anda
- Verifikasi aturan masuk dan keluar pada grup keamanan endpoint
- Gunakan ssm-cli untuk memecahkan masalah ketersediaan node terkelola
SSM Agent sudah ketinggalan zaman
Versi terbaru dari SSM Agent dirilis setiap kali kemampuan baru ditambahkan ke Systems Manager atau pembaruan dibuat untuk kemampuan yang ada. Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai kemampuan dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses penyimpanan SSM Agent up to date pada mesin Anda. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Berlangganan ke SSM Agent
Memecahkan masalah menggunakan SSM Agent berkas log
SSM Agent log informasi dalam file-file berikut. Informasi dalam file ini juga dapat membantu Anda memecahkan masalah. Untuk informasi lebih lanjut tentang SSM Agent file log, termasuk cara mengaktifkan logging debug, lihatMelihat SSM Agent log.
catatan
Jika Anda memilih untuk melihat log ini menggunakan Windows File Explorer, pastikan untuk mengizinkan tampilan file tersembunyi dan file sistem dalam Opsi Folder.
Di Windows
-
%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
-
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log
Di Linux dan macOS
-
/var/log/amazon/ssm/amazon-ssm-agent.log
-
/var/log/amazon/ssm/errors.log
Untuk node terkelola Linux, Anda mungkin menemukan informasi lebih lanjut dalam messages
file yang ditulis ke direktori berikut:/var/log
.
Untuk informasi tambahan tentang pemecahan masalah menggunakan log agen, lihat Bagaimana cara menggunakan SSM Agent log untuk memecahkan masalah dengan SSM Agent dalam contoh terkelola saya?
File log agen tidak berputar (Windows)
Jika Anda menentukan rotasi file log berbasis tanggal dalam file seelog.xml (pada Windows Server node terkelola) dan log tidak berputar, tentukan fullname=true
parameternya. Berikut adalah contoh dari file konfigurasi seelog.xml dengan parameter fullname=true
yang ditentukan.
<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug"> <exceptions> <exception filepattern="test*" minlevel="error" /> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo" /> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true /> <filter levels="error,critical" formatid="fmterror"> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true /> </filter> </outputs> <formats> <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" /> </formats> </seelog>
Tidak dapat terhubung ke titik SSM akhir
SSM Agent harus mengizinkan HTTPS (port 443) lalu lintas keluar ke titik akhir berikut:
-
ssm.
region
.amazonaws.com -
ssmmessages.
region
.amazonaws.com
region
mewakili pengenal untuk yang Wilayah AWS
didukung oleh AWS Systems Manager, seperti us-east-2
untuk Wilayah AS Timur (Ohio). Untuk daftar yang didukung region
nilai, lihat kolom Region di titik akhir layanan Systems Manager di. Referensi Umum Amazon Web Services
catatan
Sebelum 2024, ec2messages.
juga diperlukan. Untuk Wilayah AWS diluncurkan sebelum 2024, memungkinkan lalu lintas masih region
.amazonaws.com.rproxy.goskope.comssmmessages.
diperlukan tetapi opsional untukregion
.amazonaws.com.rproxy.goskope.comec2messages.
. region
.amazonaws.com
Untuk Wilayah yang diluncurkan pada tahun 2024 dan yang lebih baru, memungkinkan lalu lintas ke ssmmessages.
diperlukan, tetapi region
.amazonaws.com.rproxy.goskope.comec2messages.
titik akhir tidak didukung untuk Wilayah ini.region
.amazonaws.com
SSM Agent tidak akan berfungsi jika tidak dapat berkomunikasi dengan titik akhir sebelumnya, seperti yang dijelaskan, bahkan jika Anda menggunakan yang disediakan AWS Amazon Machine Images (AMIs) seperti Amazon Linux 2 atau Amazon Linux 2023. Konfigurasi jaringan Anda harus memiliki akses internet terbuka atau Anda harus memiliki titik akhir virtual private cloud (VPC) kustom yang dikonfigurasi. Jika Anda tidak berencana membuat VPC titik akhir khusus, periksa gateway atau gateway internet Anda. NAT Untuk informasi selengkapnya tentang cara mengelola VPC titik akhir, lihatMeningkatkan keamanan EC2 instans dengan menggunakan VPC endpoint untuk Systems Manager.
Verifikasi VPC konfigurasi Anda
Untuk mengelola EC2 instance dengan Systems Manager, VPC titik akhir Anda harus dikonfigurasi dengan benar untuk ssm.
region
.amazonaws.com.rproxy.goskope.comssmmessages.
, dan dalam beberapa kasus dijelaskan sebelumnya dalam topik ini di,. Tidak dapat terhubung ke titik SSM akhir region
.amazonaws.com.rproxy.goskope.comec2messages.
Konfigurasi jaringan Anda harus memiliki akses internet terbuka atau Anda harus memiliki titik akhir virtual private cloud (VPC) yang dikonfigurasi.region
.amazonaws.com
Untuk memecahkan masalah dengan VPC titik akhir Anda, lakukan hal berikut:
-
Pastikan bahwa VPC titik akhir disertakan di VPC level tersebut. Jika VPC titik akhir dengan nama layanan tertentu tidak ditemukan diVPC, pertama-tama verifikasi bahwa DNS dukungan diaktifkan di VPC tingkat tersebut. Selanjutnya, buat VPC endpoint baru dan kaitkan dengan satu subnet di setiap Availability Zone.
-
Pastikan bahwa DNS nama pribadi diaktifkan pada tingkat VPC titik akhir. DNSNama pribadi diaktifkan secara default tetapi mungkin telah dinonaktifkan secara manual di beberapa titik.
-
Pastikan bahwa VPC titik akhir yang ada terkait dengan subnet yang tepat. Selain itu, pastikan bahwa sudah VPCE dikaitkan dengan subnet di Availability Zone tersebut.
Untuk informasi selengkapnya, lihat topik berikut.
-
Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka di Panduan AWS PrivateLink
-
Kaitkan DNS nama pribadi di AWS PrivateLink Panduan
-
Meningkatkan keamanan EC2 instans dengan menggunakan VPC endpoint untuk Systems Manager
Verifikasi VPC DNS atribut terkait Anda
Sebagai bagian dari memverifikasi VPC konfigurasi Anda, pastikan bahwa atribut enableDnsSupport
dan enableDnsHostnames
diaktifkan.
Anda dapat mengaktifkan atribut ini menggunakan odifyVPCAttribute API tindakan Amazon EC2 M atau AWS CLI perintah modify-vpc-attribute.
Untuk informasi tentang mengaktifkan atribut ini di VPC Konsol Amazon, lihat Melihat dan memperbarui DNS atribut untuk Anda VPC di Panduan VPC Pengguna Amazon.
Verifikasi aturan masuk dan keluar pada grup keamanan endpoint
Pastikan bahwa setiap VPC titik akhir yang telah Anda konfigurasikan (ssm
ssmmessages
,, danec2messages
) menyertakan aturan masuk dan keluar pada grup keamanan mereka untuk memungkinkan lalu lintas masuk dan keluar pada port 443. Jika perlu, Anda dapat membuat grup keamanan baru dalam aturan VPC dengan satu ingress dan satu aturan keluar untuk mengizinkan lalu lintas pada port 443 untuk blok Classless Inter-Domain Routing () untuk. CIDR VPC Setelah Anda membuat grup keamanan, lampirkan ke setiap VPC titik akhir.
Untuk informasi selengkapnya, lihat topik berikut.
-
VPCCIDRblok di Panduan VPC Pengguna Amazon
Gunakan ssm-cli
untuk memecahkan masalah ketersediaan node terkelola
Dimulai dengan SSM Agent versi 3.1.501.0, Anda dapat menggunakan ssm-cli
untuk menentukan apakah node terkelola memenuhi persyaratan utama yang akan dikelola oleh Systems Manager, dan untuk muncul dalam daftar node terkelola di Fleet Manager. ssm-cli
Ini adalah alat baris perintah mandiri yang termasuk dalam SSM Agent instalasi. Perintah yang telah dikonfigurasi sebelumnya disertakan yang mengumpulkan informasi yang diperlukan untuk membantu Anda mendiagnosis mengapa EC2 instans Amazon atau EC2 non-mesin yang telah Anda konfirmasi berjalan tidak disertakan dalam daftar node terkelola di Systems Manager. Perintah ini dijalankan ketika Anda menentukan get-diagnostics
opsi.
Untuk informasi selengkapnya, lihat Memecahkan masalah ketersediaan node terkelola menggunakan ssm-cli.