SSM Agent のトラブルシューティング

マネージドノードでオペレーションの実行に問題が発生した場合、AWS Systems Manager エージェント (SSM Agent) に問題がある可能性があります。以下の情報を利用して SSM Agent ログファイルを表示し、エージェントをトラブルシューティングしてください。

SSM Agent が最新ではない

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、SSM Agent への更新の自動化 を参照してください。GitHub の「SSM Agent リリースノート」ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

SSM Agent ログファイルを使用して問題をトラブルシューティングする

SSM Agent は、以下のファイルに情報をログとして記録します。これらのファイルの情報は、問題をトラブルシューティングするのにも役立ちます。デバッグログをオンにする方法など、SSM Agent のログファイルの詳細については、「SSM Agent ログの表示」を参照してください。

注記

Windows ファイルエクスプローラーを使用してこれらのログを表示することを選択した場合は、Folder Options で隠しファイルとシステムファイルの表示を必ず許可してください。

Windows の場合

• %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

• %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Linux および macOS

• /var/log/amazon/ssm/amazon-ssm-agent.log

• /var/log/amazon/ssm/errors.log

Linux マネージドノードの場合、以下のディレクトリに書き込まれた messages ファイルに詳しい情報があります: /var/log。

エージェントログを使用したトラブルシューティングの詳細については、「AWS re:Post ナレッジセンター」の「マネージドインスタンスの SSM Agent の問題をトラブルシューティングするために SSM Agent ログを使用するにはどうすればよいですか」を参照してください。

エージェントログファイルがローテーションしない (Windows)

seelog.xml ファイル (Windows Server マネージドノード内) に日付ベースのログファイルのローテーションを指定してログがローテーションしない場合、fullname=true パラメータを指定します。次に、fullname=true パラメータが指定された seelog.xml 設定ファイルの例を示します。

<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

SSM エンドポイントに接続できない

SSM Agent は以下のエンドポイントへの HTTPS (ポート 443) アウトバウンドトラフィックを許可する必要があります。

• ssm.region.amazonaws.com

• ssmmessages.region.amazonaws.com

region は、米国東部 (オハイオ) リージョンの us-east-2 のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている region 値の一覧については、「Amazon Web Services 全般のリファレンス」の「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

注記

2024 年以前は ec2messages.region.amazonaws.com も必要でした。2024 年より前にローンチされた AWS リージョン の場合、ssmmessages.region.amazonaws.com へのトラフィックの許可は引き続き必要となりますが、ec2messages.region.amazonaws.com の場合はオプションになります。

2024 年以降にローンチされたリージョンでは、ssmmessages.region.amazonaws.com へのトラフィックを許可する必要がありますが、これらのリージョンでは ec2messages.region.amazonaws.com エンドポイントはサポートされていません。

説明されているように、SSM Agent は、上記のエンドポイントと通信できない場合、Amazon Linux 2 や Amazon Linux 2023 など AWS が提供する Amazon Machine Images (AMIs) を使用しても動作しません。ネットワーク設定には、オープンなインターネットアクセスが必要です。または、カスタム仮想プライベートクラウド (VPC) エンドポイントが設定されている必要があります。カスタム VPC エンドポイントを作成する予定がない場合は、インターネットゲートウェイまたは NAT ゲートウェイを確認してください。VPC エンドポイントを管理する方法の詳細については、「Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する」を参照してください。

ssm-cli を使用してマネージドノードの可用性をトラブルシューティングする

SSM Agent バージョン 3.1.501.0 以降では、ssm-cli を使用して、Systems Manager によって管理されたり、Fleet Manager のマネージドノードのリストに表示されたりするための主な要件をマネージドノードが満たしているかどうかを判断できるようになりました。ssm-cli は SSM Agent のインストールに含まれるスタンドアロンのコマンドラインツールです。実行中であることを確認した Amazon EC2 インスタンスまたは EC2 以外のマシンが Systems Manager のマネージドノードのリストに含まれていない理由を診断するために必要な情報を収集する、事前設定済みのコマンドが含まれています。get-diagnostics オプションを指定したときにこれらのコマンドが実行されます。

詳細については、「ssm-cli を使用したマネージドノードの可用性のトラブルシューティング」を参照してください。