SSM Agent non è aggiornato Risolvi i problemi utilizzando SSM Agent file di log I file di log dell'agente non ruotano (Windows)Impossibile connettersi agli endpoint SSM Verifica la tua configurazione VPC Verifica i tuoi VPC DNS attributi correlati Verifica le regole di ingresso e uscita sui gruppi di sicurezza degli endpoint Utilizzare ssm-cli per risolvere i problemi relativi alla disponibilità dei nodi gestiti

Risoluzione dei problemi SSM Agent

Se si verificano problemi nell'esecuzione delle operazioni sui nodi gestiti, potrebbe esserci un problema con AWS Systems Manager Agent (SSM Agent). Utilizza le seguenti informazioni per aiutarti a visualizzare SSM Agent file di registro e risoluzione dei problemi relativi all'agente.

Argomenti

SSM Agent non è aggiornato
Risolvi i problemi utilizzando SSM Agent file di log
I file di log dell'agente non ruotano (Windows)
Impossibile connettersi agli endpoint SSM
Verifica la tua configurazione VPC
Verifica i tuoi VPC DNS attributi correlati
Verifica le regole di ingresso e uscita sui gruppi di sicurezza degli endpoint
Utilizzare ssm-cli per risolvere i problemi relativi alla disponibilità dei nodi gestiti

SSM Agent non è aggiornato

Una versione aggiornata di SSM Agent viene rilasciato ogni volta che vengono aggiunte nuove funzionalità a Systems Manager o vengono apportati aggiornamenti alle funzionalità esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare varie funzionalità e caratteristiche di Systems Manager. Per questo motivo, si consiglia di automatizzare il processo di conservazione SSM Agent aggiornato sulle tue macchine. Per informazioni, consultare Automazione degli aggiornamenti di SSM Agent. Iscriviti al SSM AgentPagina delle note di rilascio su GitHub per ricevere notifiche su SSM Agent aggiornamenti.

Risolvi i problemi utilizzando SSM Agent file di log

SSM Agent registra le informazioni nei seguenti file. Le informazioni in questi file possono agevolare la risoluzione dei problemi. Per ulteriori informazioni sull' SSM Agent i file di registro, incluso come attivare la registrazione di debug, vedi. Visualizzazione dei registri di SSM Agent

Nota

Se si sceglie di visualizzare questi registri utilizzando Esplora file di Windows, ricordarsi di consentire la visualizzazione di file nascosti e file di sistema in Opzioni cartella.

Su Windows

%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Su Linux e macOS

/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log

Per i nodi gestiti Linux, è possibile trovare ulteriori informazioni nel file messages scritte nella directory seguente: /var/log.

Per ulteriori informazioni sulla risoluzione dei problemi relativi all'utilizzo dei log degli agenti, vedi Come si usa SSM Agent registri per la risoluzione dei problemi con SSM Agent nella mia istanza gestita? nel Knowledge Center di AWS re:POST.

I file di log dell'agente non ruotano (Windows)

Se si specifica la rotazione del file di registro basata sulla data nel file seelog.xml (su Windows Server nodi gestiti) e i log non ruotano, specificate il parametro. fullname=true Ecco un esempio di file di configurazione seelog.xml con il parametro fullname=true specificato.



<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Impossibile connettersi agli endpoint SSM

SSM Agent deve consentire HTTPS (porta 443) il traffico in uscita verso i seguenti endpoint:

ssm.region.amazonaws.com
ssmmessages.region.amazonaws.com

region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco di quelli supportati region valori, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

Nota

Prima del 2024, ec2messages.region.amazonaws.com era richiesto anche. Per il Regioni AWS lancio prima del 2024, consentire al traffico di arrivare ssmmessages.region.amazonaws.com è ancora obbligatorio ma facoltativo. ec2messages.region.amazonaws.com

Per le regioni lanciate nel 2024 e successivamente, ssmmessages.region.amazonaws.com è necessario consentire l'accesso al traffico, ma gli ec2messages.region.amazonaws.com endpoint non sono supportati per queste regioni.

SSM Agent non funzionerà se non è in grado di comunicare con gli endpoint precedenti, come descritto, anche se utilizzi provided AWS Amazon Machine Images (AMIs) come Amazon Linux 2 o Amazon Linux 2023. La configurazione di rete deve avere un accesso aperto a Internet oppure è necessario che siano configurati endpoint personalizzati nel cloud privato virtuale (VPC). Se non hai intenzione di creare un VPC endpoint personalizzato, controlla i tuoi gateway o gateway Internet. NAT Per ulteriori informazioni su come gestire gli VPC endpoint, consulta. Migliora la sicurezza delle EC2 istanze utilizzando gli VPC endpoint per Systems Manager

Verifica la tua configurazione VPC

Per gestire EC2 le istanze con Systems Manager, gli VPC endpoint devono essere configurati correttamente per essm.region.amazonaws.com, in alcuni casissmmessages.region.amazonaws.com, spiegati in precedenza in questo argomento inImpossibile connettersi agli endpoint SSM,. ec2messages.region.amazonaws.com La configurazione di rete deve avere un accesso aperto a Internet oppure è necessario che questi endpoint del cloud privato virtuale (VPC) siano configurati.

Per risolvere i problemi relativi agli VPC endpoint, procedi come segue:

Assicurati che gli VPC endpoint siano inclusi nel livello. VPC Se l'VPCendpoint con un nome di servizio specifico non viene trovato suVPC, verifica innanzitutto che il DNS supporto sia abilitato a quel livello. VPC Quindi, crea un nuovo VPC endpoint e associalo a una sottorete in ogni zona di disponibilità.
Assicurati che un DNS nome privato sia abilitato a livello di VPC endpoint. DNSI nomi privati sono abilitati per impostazione predefinita, ma a un certo punto potrebbero essere stati disabilitati manualmente.
Assicurati che gli VPC endpoint esistenti siano associati alla sottorete appropriata. Inoltre, assicurati che VPCE sia già associato a una sottorete in quella zona di disponibilità.

Per ulteriori informazioni, consulta i seguenti argomenti:

Accedere e Servizio AWS utilizzare un VPC endpoint di interfaccia nella Guida AWS PrivateLink
Associa un DNS nome privato nella Guida AWS PrivateLink
Migliora la sicurezza delle EC2 istanze utilizzando gli VPC endpoint per Systems Manager

Verifica i tuoi VPC DNS attributi correlati

Durante la verifica della VPC configurazione, assicurati che gli attributi enableDnsSupport e enableDnsHostnames siano abilitati.

Puoi abilitare questi attributi utilizzando l'odifyVPCAttributeAPIazione Amazon EC2 M o il AWS CLI comando modify-vpc-attribute.

Per informazioni sull'abilitazione di questi attributi nella VPC console Amazon, consulta Visualizza e aggiorna DNS gli attributi per te VPC nella Amazon VPC User Guide.

Verifica le regole di ingresso e uscita sui gruppi di sicurezza degli endpoint

Assicurati che tutti gli VPC endpoint che hai configurato (ssmssmmessages, eec2messages) includano una regola di ingresso e uscita sui rispettivi gruppi di sicurezza per consentire il traffico in entrata e in uscita sulla porta 443. Se necessario, puoi creare un nuovo gruppo di sicurezza VPC con una regola di ingresso e una regola di uscita per consentire il traffico sulla porta 443 per il blocco Classless Inter-Domain Routing () per. CIDR VPC Dopo aver creato il gruppo di sicurezza, collegalo a ciascun endpoint. VPC

Per ulteriori informazioni, consulta i seguenti argomenti:

Come posso creare VPC endpoint in modo da poter utilizzare Systems Manager per gestire EC2 istanze private senza accesso a Internet? su Re:post AWS
VPCCIDRblocchi nella Amazon VPC User Guide

Utilizzare `ssm-cli` per risolvere i problemi relativi alla disponibilità dei nodi gestiti

A partire da SSM Agent versione 3.1.501.0, è possibile utilizzare ssm-cli per determinare se un nodo gestito soddisfa i requisiti principali per essere gestito da Systems Manager e per apparire negli elenchi di nodi gestiti in Fleet Manager. ssm-cliÈ uno strumento a riga di comando autonomo incluso nel SSM Agent installazione. Sono inclusi comandi preconfigurati che raccolgono le informazioni necessarie per aiutarti a diagnosticare perché EC2 un'istanza o una EC2 macchina non Amazon che hai confermato sia in esecuzione non è inclusa negli elenchi di nodi gestiti in Systems Manager. Questi comandi vengono eseguiti quando si specifica l'opzione get-diagnostics.

Per ulteriori informazioni, consulta Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite ssm-cli.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Iscrizione alle notifiche di SSM Agent

Quick Setup