Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fehlerbehebung SSM Agent
Wenn Sie Probleme bei der Ausführung von Vorgängen auf Ihren verwalteten Knoten haben, liegt möglicherweise ein Problem mit dem AWS Systems Manager Agenten vor (SSM Agent). Verwenden Sie die folgenden Informationen, um sich die Anzeige zu erleichtern SSM Agent Protokolldateien und Fehlerbehebung für den Agenten.
Themen
- SSM Agent ist veraltet
- Probleme beheben mit SSM Agent Protokolldateien
- Agent-Protokolldateien werden nicht gedreht (Windows)
- Keine Verbindung mit SSM-Endpunkten möglich
- Ihre VPC-Konfiguration überprüfen
- Ihre VPC-DNS-bezogenen Attribute überprüfen
- Die Eingangsregeln für Endpunkt-Sicherheitsgruppen überprüfen
- Verwenden Sie ssm-cli, um die Verfügbarkeit von verwalteten Knoten zu überprüfen
SSM Agent ist veraltet
Eine aktualisierte Version von SSM Agent wird immer dann veröffentlicht, wenn neue Tools zu Systems Manager hinzugefügt oder bestehende Tools aktualisiert werden. Wenn Sie nicht die neueste Version des Agenten verwenden, kann Ihr verwalteter Knoten verschiedene Systems Manager Manager-Tools und -Funktionen nicht verwenden. Aus diesem Grund empfehlen wir Ihnen, den Prozess der Aufbewahrung zu automatisieren SSM Agent auf Ihren Maschinen auf dem neuesten Stand. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie den SSM Agent
Probleme beheben mit SSM Agent Protokolldateien
SSM Agent protokolliert Informationen in den folgenden Dateien. Die Informationen in diesen Dateien können Ihnen auch bei der Problembehandlung behilflich sein. Weitere Informationen zur SSM Agent Protokolldateien, einschließlich Informationen zur Aktivierung der Debug-Protokollierung, finden Sie unterAnsehen SSM Agent Protokolle.
Anmerkung
Wenn Sie diese Protokolle mithilfe von Windows File Explorer anzeigen möchten, überprüfen Sie, dass Sie die Anzeige von ausgeblendeten Dateien und Systemdateien unter „Folder Options“ (Ordneroptionen) aktiviert ist.
Unter Windows
-
%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
-
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log
Unter Linux und macOS
-
/var/log/amazon/ssm/amazon-ssm-agent.log
-
/var/log/amazon/ssm/errors.log
Für Linux-verwaltete Knoten finden Sie möglicherweise weitere Informationen in der messages
-Datei, die in das folgende Verzeichnis geschrieben ist: /var/log
.
Weitere Informationen zur Fehlerbehebung mithilfe von Agentenprotokollen finden Sie unter Wie verwende ich SSM Agent Protokolle zur Behebung von Problemen mit SSM Agent in meiner verwalteten Instanz?
Agent-Protokolldateien werden nicht gedreht (Windows)
Wenn Sie in der Datei seelog.xml eine datumsbasierte Rotation der Protokolldateien angeben (am Windows Server verwaltete Knoten) und die Protokolle nicht rotieren, geben Sie den fullname=true
Parameter an. Hier finden Sie ein Beispiel für eine seelog.xml -Konfigurationsdatei mit angegebenem fullname=true
-Parameter.
<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug"> <exceptions> <exception filepattern="test*" minlevel="error" /> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo" /> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true /> <filter levels="error,critical" formatid="fmterror"> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true /> </filter> </outputs> <formats> <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" /> </formats> </seelog>
Keine Verbindung mit SSM-Endpunkten möglich
SSM Agent muss ausgehenden HTTPS-Verkehr (Port 443) zu den folgenden Endpunkten zulassen:
-
ssm.
region
.amazonaws.com -
ssmmessages.
region
.amazonaws.com
region
stellt den Bezeichner für eine Region dar AWS Systems Manager, die von AWS-Region
unterstützt wird, z. B. us-east-2
für die Region USA Ost (Ohio). Eine Liste der unterstützten region
Werte finden Sie in der Spalte Region der Systems Manager Manager-Dienstendpunkte in der Allgemeine Amazon Web Services-Referenz.
Anmerkung
Vor 2024 war ec2messages.
ebenfalls erforderlich. Bei Produkten, die vor 2024 AWS-Regionen gestartet wurden, region
.amazonaws.comssmmessages.
ist das Zulassen von Datenverkehr weiterhin erforderlich, aber optional. region
.amazonaws.comec2messages.
region
.amazonaws.com
Für Regionen, die im Jahr 2024 oder später gestartet werden, ist das Zulassen von Datenverkehr zu ssmmessages.
erforderlich, aber region
.amazonaws.comec2messages.
-Endpunkte werden für diese Regionen nicht unterstützt.region
.amazonaws.com
SSM Agent funktioniert nicht, wenn es nicht wie beschrieben mit den vorherigen Endpunkten kommunizieren kann, auch wenn Sie die bereitgestellten AWS Amazon Machine Images (AMIs) wie Amazon Linux 2 oder Amazon Linux 2023. Ihre Netzwerkkonfiguration muss über einen offenen Internetzugang verfügen, oder Sie müssen benutzerdefinierte Virtual Private Cloud (VPC)-Endpunkte konfiguriert haben. Wenn Sie keinen benutzerdefinierten VPC-Endpunkt erstellen möchten, überprüfen Sie Ihre Internet-Gateways oder NAT-Gateways. Weitere Informationen dazu, wie Sie VPC-Endpunkte verwalten, finden Sie unter Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager.
Ihre VPC-Konfiguration überprüfen
Um EC2 Instanzen mit Systems Manager verwalten zu können, müssen Ihre VPC-Endpoints ordnungsgemäß für ssm.
region
.amazonaws.comssmmessages.
, konfiguriert und in einigen Fällen weiter oben in diesem Thema unter, erklärt werden. Keine Verbindung mit SSM-Endpunkten möglich region
.amazonaws.comec2messages.
Ihre Netzwerkkonfiguration muss über einen offenen Internetzugang verfügen, oder Sie müssen diese Virtual Private Cloud (VPC)-Endpunkte konfiguriert haben.region
.amazonaws.com
Gehen Sie wie folgt vor, um Probleme mit Ihren VPC-Endpunkten zu beheben:
-
Stellen Sie sicher, dass VPC-Endpunkte auf VPC-Ebene enthalten sind. Wenn der VPC-Endpunkt mit einem bestimmten Servicenamen nicht auf der VPC gefunden wird, überprüfen Sie zunächst, ob die DNS-Unterstützung auf VPC-Ebene aktiviert ist. Erstellen Sie als Nächstes einen neuen VPC-Endpunkt und ordnen Sie ihn jeweils einem Subnetz in jeder Availability Zone zu.
-
Stellen Sie sicher, dass ein privater DNS-Name auf VPC-Endpunktebene aktiviert ist. Private DNS-Namen sind standardmäßig aktiviert, wurden aber möglicherweise irgendwann manuell deaktiviert.
-
Stellen Sie sicher, dass die vorhandenen VPC-Endpunkte dem richtigen Subnetz zugeordnet sind. Stellen Sie außerdem sicher, dass die VPCE bereits einem Subnetz in dieser Availability Zone zugeordnet ist.
Weitere Informationen finden Sie unter den folgenden Themen:
Ihre VPC-DNS-bezogenen Attribute überprüfen
Stellen Sie im Rahmen der Überprüfung Ihrer VPC-Konfiguration sicher, dass die Attribute enableDnsSupport
und enableDnsHostnames
aktiviert sind.
Sie können diese Attribute mit der Amazon EC2 Modify VPCAttribute API-Aktion oder dem AWS CLI Befehl aktivieren modify-vpc-attribute.
Informationen zur Aktivierung dieser Attribute in der Amazon-VPC-Konsole finden Sie unter Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC im Amazon-VPC-Benutzerhandbuch.
Die Eingangsregeln für Endpunkt-Sicherheitsgruppen überprüfen
Stellen Sie sicher, dass alle VPC-Endpunkte, die Sie konfiguriert haben (ssm
, ssmmessages
und ec2messages
), eine Eingangsregel für ihre Sicherheitsgruppen enthalten, um Datenverkehr über Port 443 zuzulassen. Bei Bedarf können Sie in der VPC eine neue Sicherheitsgruppe mit einer Eingangsregel erstellen, um Datenverkehr auf Port 443 für den Classless Inter-Domain Routing (CIDR)-Block für die VPC zuzulassen. Nachdem Sie die Sicherheitsgruppe erstellt haben, fügen Sie sie jedem VPC-Endpunkt hinzu.
Weitere Informationen finden Sie unter den folgenden Themen:
-
Wie erstelle ich VPC-Endpoints, sodass ich Systems Manager verwenden kann, um private EC2 Instances ohne Internetzugang zu verwalten?
auf re:POST AWS -
VPC-CIDR-Blöcke im Amazon VPC-Benutzerhandbuch
Verwenden Sie ssm-cli
, um die Verfügbarkeit von verwalteten Knoten zu überprüfen
Beginnend mit SSM Agent Version 3.1.501.0, mit der Sie feststellen könnenssm-cli
, ob ein verwalteter Knoten die primären Anforderungen für die Verwaltung durch Systems Manager erfüllt, und um in Listen verwalteter Knoten angezeigt zu werden in Fleet Manager. Das ssm-cli
ist ein eigenständiges Befehlszeilentool, das im SSM Agent Installation. Es sind vorkonfigurierte Befehle enthalten, die die erforderlichen Informationen sammeln, um Ihnen bei der Diagnose zu helfen, warum eine EC2 Amazon-Instance oder ein EC2 Amazon-Computer, von dem Sie bestätigt haben, dass sie läuft, nicht in Ihren Listen der verwalteten Knoten in Systems Manager enthalten ist. Diese Befehle werden ausgeführt, wenn Sie die get-diagnostics
-Option angeben.
Weitere Informationen finden Sie unter Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit ssm-cli.