Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Si vous rencontrez des problèmes lors de l'exécution des opérations sur vos nœuds gérés, il se peut qu'il y ait un problème avec AWS Systems Manager l'agent (SSM Agent). Utilisez les informations suivantes pour vous aider à visualiser SSM Agent fichiers journaux et résolution des problèmes liés à l'agent.
Rubriques
SSM Agent est périmé
Une version mise à jour de SSM Agent est publié chaque fois que de nouveaux outils sont ajoutés à Systems Manager ou que des mises à jour sont apportées à des outils existants. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser les différents outils et fonctionnalités de Systems Manager. Pour cette raison, nous vous recommandons d'automatiser le processus de conservation SSM Agent à jour sur vos machines. Pour plus d’informations, veuillez consulter Automatiser les mises à jour de SSM Agent. Abonnez-vous au SSM Agent
Résoudre les problèmes liés à l'utilisation SSM Agent fichiers journaux
SSM Agent enregistre les informations dans les fichiers suivants. Les informations de ces fichiers peuvent également vous aider à résoudre les problèmes. Pour plus d'informations sur SSM Agent fichiers journaux, y compris comment activer la journalisation du débogage, voirVisualisation SSM Agent journaux.
Note
Si vous choisissez d'afficher ces journaux à l'aide de l'Explorateur de fichiers Windows, n'oubliez pas d'activer l'affichage des fichiers masqués et fichiers système dans les options de dossier.
Sous Windows
-
%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
-
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log
Sur Linux et macOS
-
/var/log/amazon/ssm/amazon-ssm-agent.log
-
/var/log/amazon/ssm/errors.log
Pour les nœuds gérés Linux, vous pouvez trouver de plus amples informations dans le fichier messages
rédigé dans le répertoire suivant : /var/log
.
Pour plus d'informations sur le dépannage à l'aide des journaux des agents, voir Comment utiliser SSM Agent journaux pour résoudre les problèmes liés à SSM Agent dans mon instance gérée ?
Les fichiers journaux de l'agent ne tournent pas (Windows)
Si vous spécifiez la rotation du fichier journal basée sur la date dans le fichier seelog.xml (sur Windows Server nœuds gérés) et les journaux ne pivotent pas, spécifiez le fullname=true
paramètre. Voici un exemple de fichier de configuration seelog.xml pour lequel le paramètre fullname=true
est spécifié.
<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug"> <exceptions> <exception filepattern="test*" minlevel="error" /> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo" /> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true /> <filter levels="error,critical" formatid="fmterror"> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true /> </filter> </outputs> <formats> <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" /> </formats> </seelog>
Impossible de se connecter aux points de terminaison SSM
SSM Agent doit autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :
-
ssm.
region
.amazonaws.com -
ssmmessages.
region
.amazonaws.com
region
représente l'identifiant d'une région Région AWS
prise en charge par AWS Systems Manager, par exemple us-east-2
pour la région USA Est (Ohio). Pour obtenir la liste des region
valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.
Note
Avant 2024, ec2messages.
était également requis. Pour les Régions AWS lancements effectués avant 2024, l'autorisation du trafic region
.amazonaws.comssmmessages.
est toujours obligatoire mais facultativeregion
.amazonaws.comec2messages.
. region
.amazonaws.com
Pour les régions lancées à partir de 2024, l’autorisation du trafic vers ssmmessages.
est requise, mais les points de terminaison region
.amazonaws.comec2messages.
ne sont pas pris en charge pour ces régions.region
.amazonaws.com
SSM Agent ne fonctionnera pas s'il ne peut pas communiquer avec les points de terminaison précédents, comme décrit, même si vous utilisez AWS Amazon Machine Images (AMIs) tels qu'Amazon Linux 2 ou Amazon Linux 2023. Votre configuration réseau doit avoir un accès Internet ouvert, ou bien des points de terminaison de cloud privé virtuel (VPC) personnalisés doivent être configurés. Si vous ne prévoyez pas de créer un point de terminaison de VPC personnalisé, vérifiez vos passerelles Internet ou NAT. Pour plus d'informations sur la gestion des points de terminaison de VPC, consultez Améliorez la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager.
Vérification de votre configuration VPC
Afin de gérer les EC2 instances avec Systems Manager, les points de terminaison de votre VPC doivent être correctement configurés pour ssm.
region
.amazonaws.comssmmessages.
, et dans certains cas expliqués plus haut dans cette rubrique dans,. Impossible de se connecter aux points de terminaison SSM region
.amazonaws.comec2messages.
Votre configuration réseau doit avoir un accès Internet ouvert, ou bien ces points de terminaison de cloud privé virtuel (VPC) personnalisés doivent être configurés.region
.amazonaws.com
Pour résoudre les problèmes avec vos points de terminaison de VPC, procédez comme suit :
-
Assurez‑vous que les points de terminaison de VPC sont inclus au niveau du VPC. Si le point de terminaison d’un VPC portant un nom de service spécifique n’est pas trouvé sur le VPC, vérifiez d’abord que la prise en charge de DNS est activée au niveau du VPC. Créez ensuite un nouveau point de terminaison de VPC et associez‑le à un sous-réseau dans chaque zone de disponibilité.
-
Assurez‑vous qu’un nom DNS privé est activé au niveau du point de terminaison de VPC. Les noms DNS privés sont activés par défaut, mais ils peuvent avoir été désactivés manuellement à un moment donné.
-
Assurez‑vous que les points de terminaison de VPC existants sont associés au sous‑réseau approprié. En outre, assurez‑vous que le VPCE est déjà associé à un sous‑réseau dans cette zone de disponibilité.
Pour plus d’informations, consultez les rubriques suivantes :
-
Access an Service AWS using an interface VPC endpoint dans le guide AWS PrivateLink
-
Associate a private DNS name dans le guide AWS PrivateLink
Vérification des attributs liés au DNS de votre VPC
Dans le cadre de la vérification de la configuration de votre VPC, assurez‑vous que les attributs enableDnsSupport
et enableDnsHostnames
sont activés.
Vous pouvez activer ces attributs à l'aide de l'action ou de la AWS CLI commande d'VPCAttributeAPI Amazon EC2 Modify modify-vpc-attribute.
Pour plus d’informations sur l’activation de ces attributs dans la console Amazon VPC, consultez la section View and update DNS attributes for your VPC du guide de l’utilisateur Amazon VPC.
Vérification des règles d’entrée sur les groupes de sécurité de point de terminaison
Assurez‑vous que tous les points de terminaison de VPC que vous avez configurés (ssm
, ssmmessages
et ec2messages
) incluent une règle d’entrée sur leurs groupes de sécurité afin d’autoriser le trafic à entrer sur le port 443. Si nécessaire, vous pouvez créer un nouveau groupe de sécurité dans le VPC avec une règle d’entrée autorisant le trafic sur le port 443 pour le bloc de routage inter‑domaines sans classe (CIDR) du VPC. Après avoir créé le groupe de sécurité, attachez‑le à chaque point de terminaison de VPC.
Pour plus d’informations, consultez les rubriques suivantes :
-
VPC CIDR blocks dans le guide de l’utilisateur Amazon VPC
Utilisation de ssm-cli
pour résoudre des problèmes de disponibilité des nœuds gérés
Commençant par SSM Agent version 3.1.501.0, que vous pouvez utiliser ssm-cli
pour déterminer si un nœud géré répond aux exigences principales pour être géré par Systems Manager, et pour apparaître dans les listes de nœuds gérés dans Fleet Manager. ssm-cli
Il s'agit d'un outil de ligne de commande autonome inclus dans le SSM Agent installation. Des commandes préconfigurées rassemblent les informations requises pour vous aider à diagnostiquer pourquoi une EC2 instance Amazon ou une EC2 non-machine dont vous avez confirmé l'exécution ne figure pas dans vos listes de nœuds gérés dans Systems Manager. Ces commandes sont exécutées lorsque vous spécifiez l'option get-diagnostics
.
Pour de plus amples informations, veuillez consulter Résolution des problèmes de disponibilité des nœuds gérés en utilisant ssm-cli.