Risoluzione dei problemi SSM Agent - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi SSM Agent

Se si verificano problemi nell'esecuzione delle operazioni sui nodi gestiti, potrebbe esserci un problema con AWS Systems Manager Agent (SSM Agent). Utilizza le seguenti informazioni per aiutarti a visualizzare SSM Agent file di registro e risoluzione dei problemi relativi all'agente.

SSM Agent non è aggiornato

Una versione aggiornata di SSM Agent viene rilasciato ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o vengono apportati aggiornamenti a strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, si consiglia di automatizzare il processo di conservazione SSM Agent aggiornato sulle tue macchine. Per informazioni, consultare Automatizzazione degli aggiornamenti a SSM Agent. Iscriviti al SSM AgentPagina delle note di rilascio su GitHub per ricevere notifiche su SSM Agent aggiornamenti.

Risolvi i problemi utilizzando SSM Agent file di log

SSM Agent registra le informazioni nei seguenti file. Le informazioni in questi file possono agevolare la risoluzione dei problemi. Per ulteriori informazioni sull' SSM Agent i file di registro, incluso come attivare la registrazione di debug, vedi. Visualizzazione SSM Agent log

Nota

Se si sceglie di visualizzare questi registri utilizzando Esplora file di Windows, ricordarsi di consentire la visualizzazione di file nascosti e file di sistema in Opzioni cartella.

Su Windows
  • %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

  • %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Su Linux e macOS
  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

Per i nodi gestiti Linux, è possibile trovare ulteriori informazioni nel file messages scritte nella directory seguente: /var/log.

Per ulteriori informazioni sulla risoluzione dei problemi relativi all'utilizzo dei log degli agenti, vedi Come si usa SSM Agent registri per risolvere i problemi con SSM Agent nella mia istanza gestita? nel Knowledge Center di AWS re:POST.

I file di log dell'agente non ruotano (Windows)

Se si specifica la rotazione del file di registro basata sulla data nel file seelog.xml (su Windows Server nodi gestiti) e i log non ruotano, specificate il parametro. fullname=true Ecco un esempio di file di configurazione seelog.xml con il parametro fullname=true specificato.

<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug"> <exceptions> <exception filepattern="test*" minlevel="error" /> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo" /> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true /> <filter levels="error,critical" formatid="fmterror"> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true /> </filter> </outputs> <formats> <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" /> </formats> </seelog>

Impossibile connettersi agli endpoint SSM

SSM Agent deve consentire il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

regionrappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei region valori supportati, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

Nota

Prima del 2024, veniva richiesto anche ec2messages.region.amazonaws.com. Per i Regioni AWS modelli lanciati prima del 2024, consentire al traffico di arrivare ssmmessages.region.amazonaws.com è ancora obbligatorio ma facoltativo. ec2messages.region.amazonaws.com

Per le regioni lanciate dal 2024 in poi, è necessario consentire l'accesso al traffico a ssmmessages.region.amazonaws.com, ma gli endpoint ec2messages.region.amazonaws.com non sono supportati per queste regioni.

SSM Agent non funzionerà se non è in grado di comunicare con gli endpoint precedenti, come descritto, anche se utilizzi provided AWS Amazon Machine Images (AMIs) come Amazon Linux 2 o Amazon Linux 2023. La configurazione di rete deve disporre di un accesso a Internet aperto oppure è necessario disporre di endpoint VPC (Virtual Private Cloud) personalizzati configurati. Se non si prevede di creare un endpoint VPC personalizzato, controllare i gateway Internet o i gateway NAT. Per maggiori informazioni su come gestire gli endpoint VPC, consultare Migliora la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.

Verifica la configurazione VPC

Per gestire EC2 le istanze con Systems Manager, gli endpoint VPC devono essere configurati correttamente ssm.region.amazonaws.com e, in alcuni casissmmessages.region.amazonaws.com, spiegati in precedenza in questo argomento in,. Impossibile connettersi agli endpoint SSM ec2messages.region.amazonaws.com È necessario che la configurazione di rete disponga di un accesso a Internet aperto oppure di endpoint con cloud privato virtuale (VPC) configurati.

Per risolvere i problemi relativi agli endpoint VPC, esegui queste operazioni:

  • Assicurati che gli endpoint VPC siano inclusi a livello di VPC. Quando l'endpoint VPC con un nome di servizio specifico non viene trovato sul VPC, verifica innanzitutto che il supporto DNS sia abilitato a livello di VPC. Successivamente, crea un nuovo endpoint VPC e associalo a una sottorete in ogni zona di disponibilità.

  • Assicurati che un nome DNS privato sia abilitato a livello di endpoint VPC. I nomi DNS privati sono abilitati per impostazione predefinita, ma a un certo punto potrebbero essere stati disabilitati manualmente.

  • Assicurati che gli endpoint VPC esistenti siano associati alla sottorete corretta. Inoltre, assicurati che il VPCE sia già associato a una sottorete in quella zona di disponibilità.

Per ulteriori informazioni, consulta i seguenti argomenti:

Verifica gli attributi relativi al DNS del VPC

Durante la verifica della configurazione del VPC, è necessario assicurarsi che gli attributi enableDnsSupport e enableDnsHostnames siano abilitati.

Puoi abilitare questi attributi utilizzando l'azione VPCAttribute API Amazon EC2 Modify o il AWS CLI comando modify-vpc-attribute.

Per informazioni sull'attivazione di questi attributi nella console di Amazon VPC, consulta Visualizzazione e aggiornamento degli attributi DNS per il VPC nella Guida per l'utente di Amazon VPC.

Verifica le regole di accesso sui gruppi di sicurezza degli endpoint

Assicurati che tutti gli endpoint VPC configurati (ssmssmmessages, eec2messages) includano una regola di ingresso sui relativi gruppi di sicurezza per consentire l'ingresso del traffico sulla porta 443. Se necessario, è possibile creare un nuovo gruppo di sicurezza nel VPC con una regola di ingresso per consentire il traffico sulla porta 443 per il blocco del routing interdominio senza classi (CIDR) relativo al VPC. Dopo aver creato il gruppo di sicurezza, collegalo a ciascun endpoint VPC.

Per ulteriori informazioni, consulta i seguenti argomenti:

Utilizzare ssm-cli per risolvere i problemi relativi alla disponibilità dei nodi gestiti

A partire da SSM Agent versione 3.1.501.0, è possibile utilizzare ssm-cli per determinare se un nodo gestito soddisfa i requisiti principali per essere gestito da Systems Manager e per apparire negli elenchi di nodi gestiti in Fleet Manager. ssm-cliÈ uno strumento a riga di comando autonomo incluso nel SSM Agent installazione. Sono inclusi comandi preconfigurati che raccolgono le informazioni necessarie per aiutarti a diagnosticare perché EC2 un'istanza o una EC2 macchina non Amazon che hai confermato sia in esecuzione non è inclusa negli elenchi di nodi gestiti in Systems Manager. Questi comandi vengono eseguiti quando si specifica l'opzione get-diagnostics.

Per ulteriori informazioni, consulta Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite ssm-cli.