Risoluzione dei problemi SSM Agent - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi SSM Agent

Se si verificano problemi durante l'esecuzione di operazioni sui nodi gestiti, è possibile che sia presente un problema relativo a AWS Systems Manager Agent (SSM Agent). Utilizza le seguenti informazioni per facilitare la visualizzazione SSM Agent registrare i file e risolvere i problemi relativi all'agente.

SSM Agent non è aggiornato

Una versione aggiornata di SSM Agent viene rilasciato ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o vengono eseguiti aggiornamenti delle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, consigliamo di automatizzare il processo di conservazione SSM Agent aggiornato sulle tue macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Abbonati al SSM AgentPagina delle note di rilascio su GitHub per ricevere notifiche su SSM Agent aggiornamenti.

Risolvere i problemi utilizzando SSM Agent file di log

SSM Agent registra informazioni nei file seguenti. Le informazioni in questi file possono agevolare la risoluzione dei problemi. Per ulteriori informazioni sull' SSM Agent file di log, incluso come attivare la registrazione di debug, consultare. Visualizzazione dei registri di SSM Agent

Nota

Se si sceglie di visualizzare questi registri utilizzando Esplora file di Windows, ricordarsi di consentire la visualizzazione di file nascosti e file di sistema in Opzioni cartella.

Su Windows
  • %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

  • %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

In Linux e macOS
  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

Per i nodi gestiti Linux, è possibile trovare ulteriori informazioni nel file messages scritte nella directory seguente: /var/log.

Per ulteriori informazioni sulla risoluzione dei problemi relativi all'utilizzo dei log degli agenti, vedi Come si usa SSM Agent registri per la risoluzione dei problemi con SSM Agent nella mia istanza gestita? nel Knowledge Center di AWS re:POST.

I file di log dell'agente non ruotano (Windows)

Se si specifica la rotazione del file di log basata sulla data nel file seelog.xml (su Windows Server nodi gestiti) e i log non ruotano, specificate il parametro. fullname=true Ecco un esempio di file di configurazione seelog.xml con il parametro fullname=true specificato.

<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug"> <exceptions> <exception filepattern="test*" minlevel="error" /> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo" /> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true /> <filter levels="error,critical" formatid="fmterror"> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true /> </filter> </outputs> <formats> <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" /> </formats> </seelog>

Unable to connect to SSM endpoint

SSM Agent deve permettere HTTPS (porta 443) il traffico in uscita verso i seguenti endpoint:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco di quelli supportati region valori, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

Nota

Prima del 2024, ec2messages.region.amazonaws.com era richiesto anche. Per il Regioni AWS lancio prima del 2024, consentire al traffico di arrivare ssmmessages.region.amazonaws.com è ancora obbligatorio ma facoltativo. ec2messages.region.amazonaws.com

Per le regioni lanciate nel 2024 e successivamente, ssmmessages.region.amazonaws.com è necessario consentire l'accesso al traffico, ma gli ec2messages.region.amazonaws.com endpoint non sono supportati per queste regioni.

SSM Agent non funziona se non è in grado di comunicare con gli endpoint precedenti, come descritto, anche se si utilizza AWS Amazon Machine Images (AMIs) come Amazon Linux 2 o Amazon Linux 2023. La configurazione di rete deve disporre di un accesso a Internet aperto oppure è necessario disporre di endpoint Virtual Private Cloud personalizzati configurati. VPC Se non si prevede di creare un VPC endpoint personalizzato, controllare i gateway o NAT i gateway Internet. Per ulteriori informazioni su come gestire gli VPC endpoint, consulta. Migliora la sicurezza delle EC2 istanze utilizzando gli VPC endpoint per Systems Manager

Verifica la tua configurazione VPC

Per gestire EC2 le istanze con Systems Manager, gli VPC endpoint devono essere configurati correttamente per essm.region.amazonaws.com, in alcuni casissmmessages.region.amazonaws.com, spiegati in precedenza in questo argomento inUnable to connect to SSM endpoint,. ec2messages.region.amazonaws.com La configurazione di rete deve disporre di un accesso a Internet aperto oppure è necessario disporre di questi endpoint Virtual Private Cloud (VPC) virtuali configurati.

Per risolvere i problemi relativi agli VPC endpoint, esegui questi passaggi:

  • Assicurati che gli VPC endpoint siano inclusi nel livello. VPC Se l'VPCendpoint con un nome di servizio specifico non viene trovato suVPC, verifica innanzitutto che il DNS supporto sia abilitato a quel livello. VPC Successivamente, creare un nuovo VPC endpoint e associarlo a una sottorete in ciascuna zona di disponibilità.

  • Assicurati che un DNS nome privato sia abilitato a livello di VPC endpoint. DNSI nomi privati sono abilitati per impostazione predefinita, ma a un certo punto potrebbero essere stati disabilitati manualmente.

  • Assicurati che gli VPC endpoint esistenti siano associati alla sottorete appropriata. Inoltre, assicurati che VPCE sia già associato a una sottorete in quella zona di disponibilità.

Per ulteriori informazioni, consulta i seguenti argomenti:

Verifica i tuoi VPC DNS attributi correlati

Durante la verifica della VPC configurazione, assicurati che gli attributi enableDnsSupport e enableDnsHostnames siano abilitati.

Puoi abilitare questi attributi utilizzando l'odifyVPCAttributeAPIazione Amazon EC2 M o il AWS CLI comando modify-vpc-attribute.

Per informazioni sull'abilitazione di questi attributi nella VPC Console Amazon, consulta Visualizza e aggiorna DNS gli attributi per te VPC nella Amazon VPC User Guide.

Verifica le regole di accesso sui gruppi di sicurezza degli endpoint

Assicurati che tutti gli VPC endpoint che hai configurato (ssmssmmessages, eec2messages) includano una regola di ingresso sui rispettivi gruppi di sicurezza per consentire l'ingresso del traffico sulla porta 443. Se necessario, puoi creare un nuovo gruppo di sicurezza nella regola VPC con una regola di ingresso per consentire il traffico sulla porta 443 per il blocco Classless Inter-Domain Routing () per. CIDR VPC Dopo aver creato il gruppo di sicurezza, collegalo a ciascun endpoint. VPC

Per ulteriori informazioni, consulta i seguenti argomenti:

Utilizzare ssm-cli per risolvere i problemi relativi alla disponibilità dei nodi gestiti

A partire da SSM Agent versione 3.1.501.0, puoi utilizzare ssm-cli per determinare se un nodo gestito soddisfa i requisiti principali per essere gestito da Systems Manager e per apparire negli elenchi di nodi gestiti in Fleet Manager. ssm-cliè uno strumento a riga di comando autonomo incluso in SSM Agent installazione. Sono inclusi comandi preconfigurati che raccolgono le informazioni richieste per la diagnostica del motivo per cui EC2 un'istanza Amazon o una EC2 macchina non confermata come in esecuzione non è inclusa negli elenchi dei nodi gestiti in Systems Manager. Questi comandi vengono eseguiti quando si specifica l'opzione get-diagnostics.

Per ulteriori informazioni, consulta Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite ssm-cli.