Fehlerbehebung SSM Agent

Wenn Sie Probleme bei der Ausführung von Vorgängen auf Ihren verwalteten Knoten haben, liegt möglicherweise ein Problem mit dem AWS Systems Manager Agenten vor (SSM Agent). Verwenden Sie die folgenden Informationen, um sich die Anzeige zu erleichtern SSM Agent Protokolldateien und Fehlerbehebung für den Agenten.

SSM Agent ist veraltet

Eine aktualisierte Version von SSM Agent wird immer dann veröffentlicht, wenn Systems Manager um neue Funktionen erweitert oder bestehende Funktionen aktualisiert werden. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, den Prozess der Aufbewahrung zu automatisieren SSM Agent auf Ihren Maschinen auf dem neuesten Stand. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie den SSM AgentSeite mit Versionshinweisen auf GitHub um Benachrichtigungen zu erhalten über SSM Agent Aktualisierungen.

Probleme beheben mit SSM Agent Protokolldateien

SSM Agent protokolliert Informationen in den folgenden Dateien. Die Informationen in diesen Dateien können Ihnen auch bei der Problembehandlung behilflich sein. Weitere Informationen zur SSM Agent Protokolldateien, einschließlich Informationen zur Aktivierung der Debug-Protokollierung, finden Sie unterAnzeigen von SSM Agent-Protokollen.

Anmerkung

Wenn Sie diese Protokolle mithilfe von Windows File Explorer anzeigen möchten, überprüfen Sie, dass Sie die Anzeige von ausgeblendeten Dateien und Systemdateien unter „Folder Options“ (Ordneroptionen) aktiviert ist.

Unter Windows

• %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

• %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Unter Linux und macOS

• /var/log/amazon/ssm/amazon-ssm-agent.log

• /var/log/amazon/ssm/errors.log

Für Linux-verwaltete Knoten finden Sie möglicherweise weitere Informationen in der messages-Datei, die in das folgende Verzeichnis geschrieben ist: /var/log.

Weitere Informationen zur Fehlerbehebung mithilfe von Agentenprotokollen finden Sie unter Wie verwende ich SSM Agent Protokolle zur Behebung von Problemen mit SSM Agent in meiner verwalteten Instanz? im AWS re:POST Knowledge Center.

Agent-Protokolldateien werden nicht gedreht (Windows)

Wenn Sie in der Datei seelog.xml eine datumsbasierte Rotation der Protokolldateien angeben (am Windows Server verwaltete Knoten) und die Protokolle nicht rotieren, geben Sie den fullname=true Parameter an. Hier finden Sie ein Beispiel für eine seelog.xml -Konfigurationsdatei mit angegebenem fullname=true-Parameter.

<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Es konnte keine Verbindung zu SSM Endpunkten hergestellt werden

SSM Agent muss ausgehenden Datenverkehr HTTPS (Port 443) zu den folgenden Endpunkten zulassen:

• ssm.region.amazonaws.com

• ssmmessages.region.amazonaws.com

region stellt den Bezeichner für eine Region dar AWS Systems Manager, die von AWS-Region unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio). Für eine Liste der unterstützten region Werte finden Sie in der Spalte Region in Systems Manager Manager-Dienstendpunkten in der Allgemeine Amazon Web Services-Referenz.

Anmerkung

Vor 2024 ec2messages.region.amazonaws.com war dies ebenfalls erforderlich. Bei der AWS-Regionen Veröffentlichung vor 2024 ist es weiterhin erforderlich, Datenverkehr zuzulassen, dies ssmmessages.region.amazonaws.com ist jedoch optionalec2messages.region.amazonaws.com.

Für Regionen, die 2024 und später eingeführt wurden, ssmmessages.region.amazonaws.com ist die Zulassung von Datenverkehr erforderlich, ec2messages.region.amazonaws.com Endpunkte werden für diese Regionen jedoch nicht unterstützt.

SSM Agent funktioniert nicht, wenn es nicht wie beschrieben mit den vorherigen Endpunkten kommunizieren kann, auch wenn Sie die bereitgestellten verwenden AWS Amazon Machine Images (AMIs) wie Amazon Linux 2 oder Amazon Linux 2023. Ihre Netzwerkkonfiguration muss über einen offenen Internetzugang verfügen oder Sie müssen benutzerdefinierte Virtual Private Cloud (VPC) -Endpunkte konfiguriert haben. Wenn Sie nicht vorhaben, einen benutzerdefinierten VPC Endpunkt zu erstellen, überprüfen Sie Ihre Internet-Gateways oder NAT -Gateways. Weitere Informationen zur Verwaltung von VPC Endpunkten finden Sie unter. Verbessern Sie die Sicherheit von EC2 Instanzen, indem Sie VPC Endpunkte für Systems Manager verwenden

Überprüfen Sie Ihre Konfiguration VPC

Um EC2 Instanzen mit Systems Manager verwalten zu können, müssen Ihre VPC Endpoints ordnungsgemäß für ssm.region.amazonaws.comssmmessages.region.amazonaws.com, konfiguriert und in einigen Fällen weiter oben in diesem Thema unterEs konnte keine Verbindung zu SSM Endpunkten hergestellt werden, ec2messages.region.amazonaws.com erklärt werden. Ihre Netzwerkkonfiguration muss über einen offenen Internetzugang verfügen, oder Sie müssen diese Virtual Private Cloud (VPC) -Endpunkte konfiguriert haben.

Gehen Sie wie folgt vor, um Probleme mit Ihren VPC Endpunkten zu beheben:

• Stellen Sie sicher, dass VPC Endgeräte auf dieser Ebene enthalten sind. VPC Wenn der VPC Endpunkt mit einem bestimmten Dienstnamen auf der nicht gefunden wird, überprüfen Sie zunächstVPC, ob der DNS Support auf der VPC Ebene aktiviert ist. Erstellen Sie als Nächstes einen neuen VPC Endpunkt und ordnen Sie ihn einem Subnetz in jeder Availability Zone zu.

• Stellen Sie sicher, dass ein privater DNS Name auf VPC Endpunktebene aktiviert ist. Private DNS Namen sind standardmäßig aktiviert, wurden aber möglicherweise irgendwann manuell deaktiviert.

• Stellen Sie sicher, dass die vorhandenen VPC Endgeräte dem richtigen Subnetz zugeordnet sind. Stellen Sie außerdem sicher, dass der bereits mit einem Subnetz in dieser Availability Zone verknüpft VPCE ist.

Weitere Informationen finden Sie unter den folgenden Themen:

• Greifen Sie im Guide auf und AWS-Service verwenden Sie einen VPC Schnittstellen-Endpunkt AWS PrivateLink

• Verknüpfen Sie im AWS PrivateLink Guide einen privaten DNS Namen

• Verbessern Sie die Sicherheit von EC2 Instanzen, indem Sie VPC Endpunkte für Systems Manager verwenden

Überprüfen Sie Ihre VPC DNS zugehörigen Attribute

Stellen Sie im Rahmen der Überprüfung Ihrer VPC Konfiguration sicher, dass die Attribute enableDnsSupport und aktiviert enableDnsHostnames sind.

Sie können diese Attribute mit der Amazon EC2 odifyVPCAttributeAPIM-Aktion oder dem AWS CLI Befehl aktivieren modify-vpc-attribute.

Informationen zur Aktivierung dieser Attribute in der VPC Amazon-Konsole finden Sie unter DNSAttribute für Sie anzeigen und aktualisieren VPC im VPCAmazon-Benutzerhandbuch.

Überprüfen Sie die Eingangs- und Ausgangsregeln für Endpunkt-Sicherheitsgruppen

VPCStellen Sie sicher, dass alle von Ihnen konfigurierten Endgeräte (ssmssmmessages, undec2messages) in ihren Sicherheitsgruppen eine Eingangs- und Ausgangsregel enthalten, um den ein- und ausgehenden Datenverkehr über Port 443 zuzulassen. Bei Bedarf können Sie im Block Classless Inter-Domain Routing () eine neue Sicherheitsgruppe VPC mit einer Eingangs- und einer Ausgangsregel erstellen, um Datenverkehr auf Port 443 für den Block Classless Inter-Domain Routing () zuzulassen. CIDR VPC Nachdem Sie die Sicherheitsgruppe erstellt haben, fügen Sie sie jedem Endpunkt hinzu. VPC

Weitere Informationen finden Sie unter den folgenden Themen:

• Wie erstelle ich VPC Endpoints, sodass ich Systems Manager verwenden kann, um private EC2 Instanzen ohne Internetzugang zu verwalten? auf AWS re:POST

• VPCCIDRBlöcke im VPCAmazon-Benutzerhandbuch

Verwenden Sie ssm-cli, um die Verfügbarkeit von verwalteten Knoten zu überprüfen

Beginnend mit SSM Agent Version 3.1.501.0, mit der Sie feststellen könnenssm-cli, ob ein verwalteter Knoten die primären Anforderungen für die Verwaltung durch Systems Manager erfüllt, und um in Listen verwalteter Knoten angezeigt zu werden in Fleet Manager. Das ssm-cli ist ein eigenständiges Befehlszeilentool, das in der SSM Agent Installation. Es sind vorkonfigurierte Befehle enthalten, die die erforderlichen Informationen sammeln, um Ihnen bei der Diagnose zu helfen, warum eine EC2 Amazon-Instance oder ein EC2 Amazon-Computer, von dem Sie bestätigt haben, dass sie läuft, nicht in Ihren Listen der verwalteten Knoten in Systems Manager enthalten ist. Diese Befehle werden ausgeführt, wenn Sie die get-diagnostics-Option angeben.

Weitere Informationen finden Sie unter Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit ssm-cli.