Fehlerbehebung SSM Agent

Wenn Sie Probleme bei der Ausführung von Vorgängen auf Ihren verwalteten Knoten haben, liegt möglicherweise ein Problem mit dem AWS Systems Manager Agenten vor (SSM Agent). Verwenden Sie die folgenden Informationen, um sich die Anzeige zu erleichtern SSM Agent Protokolldateien und Fehlerbehebung für den Agenten.

SSM Agent ist veraltet

Eine aktualisierte Version von SSM Agent wird immer dann veröffentlicht, wenn neue Tools zu Systems Manager hinzugefügt oder bestehende Tools aktualisiert werden. Wenn Sie nicht die neueste Version des Agenten verwenden, kann Ihr verwalteter Knoten verschiedene Systems Manager Manager-Tools und -Funktionen nicht verwenden. Aus diesem Grund empfehlen wir Ihnen, den Prozess der Aufbewahrung zu automatisieren SSM Agent auf Ihren Maschinen auf dem neuesten Stand. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie den SSM AgentSeite mit den Versionshinweisen auf GitHub um Benachrichtigungen zu erhalten über SSM Agent Aktualisierungen.

Probleme beheben mit SSM Agent Protokolldateien

SSM Agent protokolliert Informationen in den folgenden Dateien. Die Informationen in diesen Dateien können Ihnen auch bei der Problembehandlung behilflich sein. Weitere Informationen zur SSM Agent Protokolldateien, einschließlich Informationen zur Aktivierung der Debug-Protokollierung, finden Sie unterAnsehen SSM Agent Protokolle.

Anmerkung

Wenn Sie diese Protokolle mithilfe von Windows File Explorer anzeigen möchten, überprüfen Sie, dass Sie die Anzeige von ausgeblendeten Dateien und Systemdateien unter „Folder Options“ (Ordneroptionen) aktiviert ist.

Unter Windows

• %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

• %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Unter Linux und macOS

• /var/log/amazon/ssm/amazon-ssm-agent.log

• /var/log/amazon/ssm/errors.log

Für Linux-verwaltete Knoten finden Sie möglicherweise weitere Informationen in der messages-Datei, die in das folgende Verzeichnis geschrieben ist: /var/log.

Weitere Informationen zur Fehlerbehebung mithilfe von Agentenprotokollen finden Sie unter Wie verwende ich SSM Agent Protokolle zur Behebung von Problemen mit SSM Agent in meiner verwalteten Instanz? im AWS re:POST Knowledge Center.

Agent-Protokolldateien werden nicht gedreht (Windows)

Wenn Sie in der Datei seelog.xml eine datumsbasierte Rotation der Protokolldateien angeben (am Windows Server verwaltete Knoten) und die Protokolle nicht rotieren, geben Sie den fullname=true Parameter an. Hier finden Sie ein Beispiel für eine seelog.xml -Konfigurationsdatei mit angegebenem fullname=true-Parameter.

<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Keine Verbindung mit SSM-Endpunkten möglich

SSM Agent muss ausgehenden HTTPS-Verkehr (Port 443) zu den folgenden Endpunkten zulassen:

• ssm.region.amazonaws.com

• ssmmessages.region.amazonaws.com

regionstellt den Bezeichner für eine Region dar AWS Systems Manager, die von AWS-Region unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten region Werte finden Sie in der Spalte Region der Systems Manager Manager-Dienstendpunkte in der Allgemeine Amazon Web Services-Referenz.

Anmerkung

Vor 2024 war ec2messages.region.amazonaws.com ebenfalls erforderlich. Bei Produkten, die vor 2024 AWS-Regionen gestartet wurden, ssmmessages.region.amazonaws.com ist das Zulassen von Datenverkehr weiterhin erforderlich, aber optional. ec2messages.region.amazonaws.com

Für Regionen, die im Jahr 2024 oder später gestartet werden, ist das Zulassen von Datenverkehr zu ssmmessages.region.amazonaws.com erforderlich, aber ec2messages.region.amazonaws.com-Endpunkte werden für diese Regionen nicht unterstützt.

SSM Agent funktioniert nicht, wenn es nicht wie beschrieben mit den vorherigen Endpunkten kommunizieren kann, auch wenn Sie die bereitgestellten AWS Amazon Machine Images (AMIs) wie Amazon Linux 2 oder Amazon Linux 2023. Ihre Netzwerkkonfiguration muss über einen offenen Internetzugang verfügen, oder Sie müssen benutzerdefinierte Virtual Private Cloud (VPC)-Endpunkte konfiguriert haben. Wenn Sie keinen benutzerdefinierten VPC-Endpunkt erstellen möchten, überprüfen Sie Ihre Internet-Gateways oder NAT-Gateways. Weitere Informationen dazu, wie Sie VPC-Endpunkte verwalten, finden Sie unter Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager.

Ihre VPC-Konfiguration überprüfen

Um EC2 Instanzen mit Systems Manager verwalten zu können, müssen Ihre VPC-Endpoints ordnungsgemäß für ssm.region.amazonaws.comssmmessages.region.amazonaws.com, konfiguriert und in einigen Fällen weiter oben in diesem Thema unter, erklärt werden. Keine Verbindung mit SSM-Endpunkten möglich ec2messages.region.amazonaws.com Ihre Netzwerkkonfiguration muss über einen offenen Internetzugang verfügen, oder Sie müssen diese Virtual Private Cloud (VPC)-Endpunkte konfiguriert haben.

Gehen Sie wie folgt vor, um Probleme mit Ihren VPC-Endpunkten zu beheben:

• Stellen Sie sicher, dass VPC-Endpunkte auf VPC-Ebene enthalten sind. Wenn der VPC-Endpunkt mit einem bestimmten Servicenamen nicht auf der VPC gefunden wird, überprüfen Sie zunächst, ob die DNS-Unterstützung auf VPC-Ebene aktiviert ist. Erstellen Sie als Nächstes einen neuen VPC-Endpunkt und ordnen Sie ihn jeweils einem Subnetz in jeder Availability Zone zu.

• Stellen Sie sicher, dass ein privater DNS-Name auf VPC-Endpunktebene aktiviert ist. Private DNS-Namen sind standardmäßig aktiviert, wurden aber möglicherweise irgendwann manuell deaktiviert.

• Stellen Sie sicher, dass die vorhandenen VPC-Endpunkte dem richtigen Subnetz zugeordnet sind. Stellen Sie außerdem sicher, dass die VPCE bereits einem Subnetz in dieser Availability Zone zugeordnet ist.

Weitere Informationen finden Sie unter den folgenden Themen:

• Zugriff auf AWS-Service über einen Schnittstellen-VPC-Endpunkt im AWS PrivateLink -Handbuch

• Ordnen Sie in der Anleitung einen privaten DNS-Namen zu AWS PrivateLink

• Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager

Ihre VPC-DNS-bezogenen Attribute überprüfen

Stellen Sie im Rahmen der Überprüfung Ihrer VPC-Konfiguration sicher, dass die Attribute enableDnsSupport und enableDnsHostnames aktiviert sind.

Sie können diese Attribute mit der Amazon EC2 Modify VPCAttribute API-Aktion oder dem AWS CLI Befehl aktivieren modify-vpc-attribute.

Informationen zur Aktivierung dieser Attribute in der Amazon-VPC-Konsole finden Sie unter Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

Die Eingangsregeln für Endpunkt-Sicherheitsgruppen überprüfen

Stellen Sie sicher, dass alle VPC-Endpunkte, die Sie konfiguriert haben (ssm, ssmmessages und ec2messages), eine Eingangsregel für ihre Sicherheitsgruppen enthalten, um Datenverkehr über Port 443 zuzulassen. Bei Bedarf können Sie in der VPC eine neue Sicherheitsgruppe mit einer Eingangsregel erstellen, um Datenverkehr auf Port 443 für den Classless Inter-Domain Routing (CIDR)-Block für die VPC zuzulassen. Nachdem Sie die Sicherheitsgruppe erstellt haben, fügen Sie sie jedem VPC-Endpunkt hinzu.

Weitere Informationen finden Sie unter den folgenden Themen:

• Wie erstelle ich VPC-Endpoints, sodass ich Systems Manager verwenden kann, um private EC2 Instances ohne Internetzugang zu verwalten? auf re:POST AWS

• VPC-CIDR-Blöcke im Amazon VPC-Benutzerhandbuch

Verwenden Sie ssm-cli, um die Verfügbarkeit von verwalteten Knoten zu überprüfen

Beginnend mit SSM Agent Version 3.1.501.0, mit der Sie feststellen könnenssm-cli, ob ein verwalteter Knoten die primären Anforderungen für die Verwaltung durch Systems Manager erfüllt, und um in Listen verwalteter Knoten angezeigt zu werden in Fleet Manager. Das ssm-cli ist ein eigenständiges Befehlszeilentool, das im SSM Agent Installation. Es sind vorkonfigurierte Befehle enthalten, die die erforderlichen Informationen sammeln, um Ihnen bei der Diagnose zu helfen, warum eine EC2 Amazon-Instance oder ein EC2 Amazon-Computer, von dem Sie bestätigt haben, dass sie läuft, nicht in Ihren Listen der verwalteten Knoten in Systems Manager enthalten ist. Diese Befehle werden ausgeführt, wenn Sie die get-diagnostics-Option angeben.

Weitere Informationen finden Sie unter Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit ssm-cli.