本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

故障診斷 SSM Agent

如果您在受管節點上執行操作時遇到問題，則 AWS Systems Manager 代理程式 （SSM Agent）。 使用下列資訊協助您檢視 SSM Agent 日誌檔案和客服人員疑難排解。

SSM Agent 已過期

的更新版本 SSM Agent 會在將新功能新增至 Systems Manager 或更新現有功能時發行。若未使用最新版本的代理程式，您的受管節點可能會無法使用各種 Systems Manager 的功能及特點。因此，我們建議您將保留程序自動化 SSM Agent 電腦上的最新功能。如需相關資訊，請參閱 自動化 SSM Agent 更新。訂閱 SSM Agent 上的版本備註頁面 GitHub 以取得有關 的通知 SSM Agent 更新。

使用 對問題進行故障診斷 SSM Agent 日誌檔案

SSM Agent 會在下列檔案中記錄資訊。這些檔案中的資訊也可協助您排除問題。如需關於 SSM Agent 日誌檔案，包括如何開啟偵錯記錄，請參閱 檢視 SSM Agent 日誌。

對於 Linux 受管節點，您可能會在寫入到以下目錄的 messages 檔案中找到更多資訊：/var/log。

如需使用客服人員日誌進行疑難排解的詳細資訊，請參閱如何使用 SSM Agent 日誌以疑難排解 的問題 SSM Agent 在 reAWS ：Post Knowledge Center 中的受管執行個體？ 中。

代理程式日誌檔案不會輪換 (Windows)

如果您在 seelog.xml 檔案中指定日期型日誌檔案輪換 （在 Windows Server 受管節點） 且日誌不會輪換，請指定 fullname=true 參數。以下是已指定 fullname=true 參數的 seelog.xml 組態檔案的範例。

<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

無法連線至SSM端點

SSM Agent 必須允許 HTTPS（連接埠 443） 傳出流量至下列端點：

region 代表 支援的 AWS 區域 識別符 AWS Systems Manager，例如us-east-2美國東部 （俄亥俄） 區域。如需支援的清單 region 值，請參閱 中 Systems Manager 服務端點中的區域欄Amazon Web Services 一般參考。

SSM Agent 如果無法與上述端點通訊，則無法運作，即使您使用 AWS 提供的 Amazon Machine Images (AMIs），例如 Amazon Linux 2 或 Amazon Linux 2023。您的網路組態必須具有開放網際網路存取，或者您必須設定自訂虛擬私有雲端 （VPC） 端點。如果您不打算建立自訂VPC端點，請檢查您的網際網路閘道或NAT閘道。如需如何管理VPC端點的詳細資訊，請參閱 使用 Systems Manager 的VPC端點來改善EC2執行個體的安全性。

驗證您的VPC組態

若要使用 Systems Manager 管理EC2執行個體，您的VPC端點必須針對 ssm.region.amazonaws.com、 正確設定ssmmessages.region.amazonaws.com，在某些情況下，還需在本主題的 無法連線至SSM端點、 中說明ec2messages.region.amazonaws.com。您的網路組態必須具有開放網際網路存取，或者您必須設定這些虛擬私有雲端 （VPC） 端點。

若要疑難排解VPC端點的問題，請執行下列動作：

如需詳細資訊，請參閱下列主題：

驗證您的 VPC DNS相關屬性

確認VPC組態時，請確定enableDnsHostnames已啟用屬性 enableDnsSupport和 。

您可以使用 Amazon EC2 ModifyVPCAttribute API動作或 AWS CLI 命令 來啟用這些屬性modify-vpc-attribute。

如需在 Amazon VPC主控台中啟用這些屬性的資訊，請參閱 Amazon VPC使用者指南 中的檢視和更新 的DNS屬性VPC。

驗證端點安全群組的輸入和輸出規則

請確定您已設定的任何VPC端點 （ssm、 ssmmessages和 ec2messages） 在其安全群組上包含傳入和傳出規則，以允許連接埠 443 上的傳入和傳出流量。如有必要，您可以使用VPC一個輸入規則和一個輸出規則在 中建立新的安全群組，以允許 的無類別網域間路由 （CIDR） 區塊在連接埠 443 上的流量VPC。建立安全群組後，請將其連接至每個VPC端點。

如需詳細資訊，請參閱下列主題：

使用 ssm-cli 診斷並解決受管節點的可用性問題

從 開始 SSM Agent 3.1.501.0 版，您可以使用 ssm-cli 來判斷受管節點是否符合 Systems Manager 管理的主要需求，以及 中 的受管節點清單 Fleet Manager。 ssm-cli 是包含在 中的獨立命令列工具 SSM Agent 安裝。包含預先設定的命令，這些命令會收集必要資訊，以協助您診斷為何已確認執行的 Amazon EC2執行個體或非EC2機器未包含在 Systems Manager 中的受管節點清單中。這些命令會在您指定 get-diagnostics 選項時執行。

如需詳細資訊，請參閱使用 ssm-cli 診斷並解決受管節點的可用性問題。