Résolution des problèmes SSM Agent - AWS Systems Manager
SSM Agent est périméRésoudre les problèmes liés à l'utilisation SSM Agent fichiers journauxLes fichiers journaux de l'agent ne tournent pas (Windows)Impossible de se connecter aux points de terminaison SSMVérification de votre configuration VPCVérification des attributs liés au DNS de votre VPCVérification des règles d’entrée sur les groupes de sécurité de point de terminaisonUtilisation de ssm-cli pour résoudre des problèmes de disponibilité des nœuds gérés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes SSM Agent

Si vous rencontrez des problèmes lors de l'exécution des opérations sur vos nœuds gérés, il se peut qu'il y ait un problème avec AWS Systems Manager l'agent (SSM Agent). Utilisez les informations suivantes pour vous aider à visualiser SSM Agent fichiers journaux et résolution des problèmes liés à l'agent.

SSM Agent est périmé

Une version mise à jour de SSM Agent est publié chaque fois que de nouveaux outils sont ajoutés à Systems Manager ou que des mises à jour sont apportées à des outils existants. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser les différents outils et fonctionnalités de Systems Manager. Pour cette raison, nous vous recommandons d'automatiser le processus de conservation SSM Agent à jour sur vos machines. Pour plus d’informations, veuillez consulter Automatiser les mises à jour de SSM Agent. Abonnez-vous au SSM AgentPage des notes de publication sur GitHub pour recevoir des notifications concernant SSM Agent mises à jour.

Résoudre les problèmes liés à l'utilisation SSM Agent fichiers journaux

SSM Agent enregistre les informations dans les fichiers suivants. Les informations de ces fichiers peuvent également vous aider à résoudre les problèmes. Pour plus d'informations sur SSM Agent fichiers journaux, y compris comment activer la journalisation du débogage, voirVisualisation SSM Agent journaux.

Note

Si vous choisissez d'afficher ces journaux à l'aide de l'Explorateur de fichiers Windows, n'oubliez pas d'activer l'affichage des fichiers masqués et fichiers système dans les options de dossier.

Sous Windows

  • %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

  • %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Sur Linux et macOS

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

Pour les nœuds gérés Linux, vous pouvez trouver de plus amples informations dans le fichier messages rédigé dans le répertoire suivant : /var/log.

Pour plus d'informations sur le dépannage à l'aide des journaux des agents, voir Comment utiliser SSM Agent journaux pour résoudre les problèmes liés à SSM Agent dans mon instance gérée ? dans le centre de connaissances AWS Re:post.

Les fichiers journaux de l'agent ne tournent pas (Windows)

Si vous spécifiez la rotation du fichier journal basée sur la date dans le fichier seelog.xml (sur Windows Server nœuds gérés) et les journaux ne pivotent pas, spécifiez le fullname=true paramètre. Voici un exemple de fichier de configuration seelog.xml pour lequel le paramètre fullname=true est spécifié.


<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Impossible de se connecter aux points de terminaison SSM

SSM Agent doit autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

regionreprésente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

Note

Avant 2024, ec2messages.region.amazonaws.com était également requis. Pour les Régions AWS lancements effectués avant 2024, l'autorisation du trafic ssmmessages.region.amazonaws.com est toujours obligatoire mais facultativeec2messages.region.amazonaws.com.

Pour les régions lancées à partir de 2024, l’autorisation du trafic vers ssmmessages.region.amazonaws.com est requise, mais les points de terminaison ec2messages.region.amazonaws.com ne sont pas pris en charge pour ces régions.

SSM Agent ne fonctionnera pas s'il ne peut pas communiquer avec les points de terminaison précédents, comme décrit, même si vous utilisez AWS Amazon Machine Images (AMIs) tels qu'Amazon Linux 2 ou Amazon Linux 2023. Votre configuration réseau doit avoir un accès Internet ouvert, ou bien des points de terminaison de cloud privé virtuel (VPC) personnalisés doivent être configurés. Si vous ne prévoyez pas de créer un point de terminaison de VPC personnalisé, vérifiez vos passerelles Internet ou NAT. Pour plus d'informations sur la gestion des points de terminaison de VPC, consultez Améliorez la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager.

Vérification de votre configuration VPC

Afin de gérer les EC2 instances avec Systems Manager, les points de terminaison de votre VPC doivent être correctement configurés pour ssm.region.amazonaws.comssmmessages.region.amazonaws.com, et dans certains cas expliqués plus haut dans cette rubrique dans,. Impossible de se connecter aux points de terminaison SSM ec2messages.region.amazonaws.com Votre configuration réseau doit avoir un accès Internet ouvert, ou bien ces points de terminaison de cloud privé virtuel (VPC) personnalisés doivent être configurés.

Pour résoudre les problèmes avec vos points de terminaison de VPC, procédez comme suit :

  • Assurez‑vous que les points de terminaison de VPC sont inclus au niveau du VPC. Si le point de terminaison d’un VPC portant un nom de service spécifique n’est pas trouvé sur le VPC, vérifiez d’abord que la prise en charge de DNS est activée au niveau du VPC. Créez ensuite un nouveau point de terminaison de VPC et associez‑le à un sous-réseau dans chaque zone de disponibilité.

  • Assurez‑vous qu’un nom DNS privé est activé au niveau du point de terminaison de VPC. Les noms DNS privés sont activés par défaut, mais ils peuvent avoir été désactivés manuellement à un moment donné.

  • Assurez‑vous que les points de terminaison de VPC existants sont associés au sous‑réseau approprié. En outre, assurez‑vous que le VPCE est déjà associé à un sous‑réseau dans cette zone de disponibilité.

Pour plus d’informations, consultez les rubriques suivantes :

Vérification des attributs liés au DNS de votre VPC

Dans le cadre de la vérification de la configuration de votre VPC, assurez‑vous que les attributs enableDnsSupport et enableDnsHostnames sont activés.

Vous pouvez activer ces attributs à l'aide de l'action ou de la AWS CLI commande d'VPCAttributeAPI Amazon EC2 Modify modify-vpc-attribute.

Pour plus d’informations sur l’activation de ces attributs dans la console Amazon VPC, consultez la section View and update DNS attributes for your VPC du guide de l’utilisateur Amazon VPC.

Vérification des règles d’entrée sur les groupes de sécurité de point de terminaison

Assurez‑vous que tous les points de terminaison de VPC que vous avez configurés (ssm, ssmmessages et ec2messages) incluent une règle d’entrée sur leurs groupes de sécurité afin d’autoriser le trafic à entrer sur le port 443. Si nécessaire, vous pouvez créer un nouveau groupe de sécurité dans le VPC avec une règle d’entrée autorisant le trafic sur le port 443 pour le bloc de routage inter‑domaines sans classe (CIDR) du VPC. Après avoir créé le groupe de sécurité, attachez‑le à chaque point de terminaison de VPC.

Pour plus d’informations, consultez les rubriques suivantes :

Utilisation de ssm-cli pour résoudre des problèmes de disponibilité des nœuds gérés

Commençant par SSM Agent version 3.1.501.0, que vous pouvez utiliser ssm-cli pour déterminer si un nœud géré répond aux exigences principales pour être géré par Systems Manager, et pour apparaître dans les listes de nœuds gérés dans Fleet Manager. ssm-cliIl s'agit d'un outil de ligne de commande autonome inclus dans le SSM Agent installation. Des commandes préconfigurées rassemblent les informations requises pour vous aider à diagnostiquer pourquoi une EC2 instance Amazon ou une EC2 non-machine dont vous avez confirmé l'exécution ne figure pas dans vos listes de nœuds gérés dans Systems Manager. Ces commandes sont exécutées lorsque vous spécifiez l'option get-diagnostics.

Pour de plus amples informations, veuillez consulter Résolution des problèmes de disponibilité des nœuds gérés en utilisant ssm-cli.