O SSM Agent está desatualizado Solucionar problemas usando arquivos de log do SSM Agent Arquivos de log do agente não alternam (Windows)Unable to connect to endpoint Verificar sua configuração de VPC Verificar seus atributos relacionados a DNS da VPC Verificar regras de entrada e saída em grupos de segurança de endpoints Usa a ssm-cli para solucionar problemas de disponibilidade do nó gerenciado

Solução de problemas de SSM Agent

Se você tiver problemas ao executar operações em seus nós gerenciados, poderá haver um problema com o AWS Systems Manager Agent (SSM Agent). Use as seguintes informações para ajudá-lo a visualizar os arquivos de log do SSM Agent e solucionar o problema com o agente.

Tópicos

O SSM Agent está desatualizado
Solucionar problemas usando arquivos de log do SSM Agent
Arquivos de log do agente não alternam (Windows)
Unable to connect to endpoint
Verificar sua configuração de VPC
Verificar seus atributos relacionados a DNS da VPC
Verificar regras de entrada e saída em grupos de segurança de endpoints
Usa a ssm-cli para solucionar problemas de disponibilidade do nó gerenciado

O SSM Agent está desatualizado

Uma versão atualizada do SSM Agent é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações forem feitas nos recursos existentes. Deixar de usar a versão mais recente do agente pode impedir que seu nó gerenciado use vários recursos do Systems Manager. Por isso, recomendamos automatizar o processo de manter o SSM Agent atualizado em suas máquinas. Para ter mais informações, consulte Automatizar atualizações do SSM Agent. Inscreva-se na página Notas de versão do SSM Agent no GitHub para receber notificações sobre atualizações do SSM Agent.

Solucionar problemas usando arquivos de log do SSM Agent

SSM Agent registra informações nos arquivos a seguir. As informações nesses arquivos podem ajudar a solucionar problemas. Para obter mais informações sobre os arquivos de log do SSM Agent, incluindo como ativar o log de depuração, consulte Visualizar logs do SSM Agent.

nota

Se você optar por visualizar esses logs usando o Explorador de arquivos do Windows, certifique-se de habilitar a visualização de arquivos ocultos e arquivos do sistema nas Opções de pasta.

No Windows

%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log

No Linux e no macOS

/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log

Para nós gerenciados do Linux, você pode encontrar mais informações no arquivo messages gravado no seguinte diretório: /var/log.

Para obter mais informações sobre a solução de problemas usando logs do agente, consulte How do I use SSM Agent logs to troubleshoot issues with SSM Agent in my managed instance? no Centro de Conhecimento AWS re:Post.

Arquivos de log do agente não alternam (Windows)

Se você especificar a rotação do arquivo de log baseado em data no arquivo seelog.xml (em nós gerenciados do Windows Server) e os logs não forem alternados, especifique o parâmetro fullname=true. Veja a seguir um exemplo de um arquivo de configuração seelog.xml com o parâmetro fullname=true especificado.



<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Unable to connect to endpoint

O SSM Agent deve permitir o tráfego de saída HTTPS (porta 443) para os seguintes endpoints:

ssm.region.amazonaws.com
ssmmessages.region.amazonaws.com

A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de região com suporte, consulte a coluna Region em Systems Manager service endpoints no Referência geral da Amazon Web Services.

nota

Antes de 2024, ec2messages.region.amazonaws.com também era necessário. Para Regiões da AWS lançadas antes de 2024, permitir tráfego para ssmmessages.region.amazonaws.com ainda é obrigatório, mas opcional para ec2messages.region.amazonaws.com.

Para regiões lançadas em 2024 e posteriormente, permitir tráfego para ssmmessages.region.amazonaws.com é obrigatório, mas os endpoints ec2messages.region.amazonaws.com não são compatíveis com essas regiões.

O SSM Agent não funcionará se não puder se comunicar com os endpoints anteriores, conforme descrito, mesmo se você usar as Amazon Machine Images (AMIs) fornecidas pela AWS, como Amazon Linux 2 ou Amazon Linux 2023. Sua configuração de rede deve ter acesso aberto à Internet ou você deve ter endpoints personalizados de nuvem virtual privada (VPC) configurados. Se você não planeja criar um endpoint da VPC personalizado, verifique seus gateways de Internet ou gateways NAT. Para obter mais informações sobre endpoints da VPC gerenciados por Redshift, consulte Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager.

Verificar sua configuração de VPC

Para gerenciar instâncias do EC2 com o Systems Manager, seus endpoints da VPC devem ser configurados adequadamente para ssm.region.amazonaws.com, ssmmessages.region.amazonaws.com e, em alguns casos explicados anteriormente neste tópico em Unable to connect to endpoint, para ec2messages.region.amazonaws.com. Sua configuração de rede deve ter acesso aberto à Internet ou você deve ter estes endpoints de nuvem virtual privada (VPC) configurados.

Para solucionar problemas com seus endpoints da VPC, faça o seguinte:

Garanta que endpoints da VPC sejam incluídos no nível da VPC. Se o endpoint da VPC com um nome de serviço específico não for encontrado na VPC, primeiro verifique se o suporte a DNS está habilitado no nível da VPC. Em seguida, crie um novo endpoint da VPC e associe-o a uma sub-rede em cada zona de disponibilidade.
Certifique-se de que um nome DNS privado esteja habilitado no nível do endpoint da VPC. Os nomes de DNS privados são habilitados por padrão, mas podem ter sido desabilitados manualmente em algum momento.
Certifique-se de que os endpoints da VPC existentes estejam associados à sub-rede adequada. Além disso, certifique-se de que o VPCE já esteja associado a uma sub-rede nessa zona de disponibilidade.

Para obter mais informações, consulte os tópicos a seguir.

Acessar um AWS service (Serviço da AWS) usando um endpoint da VPC de interface no Guia do AWS PrivateLink.
Associar um nome de DNS privado no Guia do AWS PrivateLink
Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager

Verificar seus atributos relacionados a DNS da VPC

Como parte da verificação da configuração da VPC, verifique se os atributos enableDnsSupport e enableDnsHostnames estão habilitados.

Você pode habilitar esses atributos usando a ação da API ModifyVpcAttribute do Amazon EC2 ou o comando modify-vpc-attribute da AWS CLI.

Para obter mais informações sobre como habilitar esses atributos no console da Amazon VPC, consulte Visualizar e atualizar atributos de DNS para sua VPC no Guai do usuário da Amazon VPC.

Verificar regras de entrada e saída em grupos de segurança de endpoints

Certifique-se de que todos os endpoints da VPC que você configurou (ssm, ssmmessages e ec2messages) incluam uma regra de entrada em seus grupos de segurança para permitir tráfego na porta 443. Se necessário, você poderá criar um novo grupo de segurança na VPC com uma regra de entrada para permitir o tráfego na porta 443 para o bloco Encaminhamento Entre Domínios Sem Classificação (CIDR) da VPC. Depois de criar o grupo de segurança, anexe-o a cada endpoint da VPC.

Para obter mais informações, consulte os tópicos a seguir.

Como faço para criar endpoints da VPC para poder usar o Systems Manager para gerenciar instâncias do EC2 privadas sem acesso à Internet? no AWS re:Post
Blocos CIDR de VPC no Guia do usuário da Amazon VPC

Usa a `ssm-cli` para solucionar problemas de disponibilidade do nó gerenciado

A partir do SSM Agent versão 3.1.501.0, você pode usar a ssm-cli para determinar se um nó gerenciado atende aos requisitos principais para ser gerenciado pelo Systems Manager e para ser exibido nas listas de nós gerenciados no Fleet Manager. O ssm-cli é uma ferramenta de linha de comando autônoma incluída na instalação do SSM Agent. Comandos pré-configurados estão incluídos para coletar as informações necessárias que ajudam a identificar por que uma instância do Amazon EC2 ou uma máquina que não é do EC2 que você confirmou que está em execução não está incluída nas listas de nós gerenciados no Systems Manager. Esses comandos são executados quando você especifica a opção get-diagnostics.

Para obter mais informações, consulte Solucionar problemas de disponibilidade do nó gerenciado usando a ssm-cli.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Assinar as notificações do SSM Agent

Segurança