Solução de problemas de SSM Agent - AWS Systems Manager
O SSM Agent está desatualizadoSolucionar problemas usando arquivos de log do SSM AgentArquivos de log do agente não alternam (Windows)Unable to connect to endpointUsa a ssm-cli para solucionar problemas de disponibilidade do nó gerenciado

Solução de problemas de SSM Agent

Se você tiver problemas ao executar operações em seus nós gerenciados, poderá haver um problema com o AWS Systems Manager Agent (SSM Agent). Use as seguintes informações para ajudá-lo a visualizar os arquivos de log do SSM Agent e solucionar o problema com o agente.

O SSM Agent está desatualizado

Uma versão atualizada do SSM Agent é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações forem feitas nos recursos existentes. Deixar de usar a versão mais recente do agente pode impedir que seu nó gerenciado use vários recursos do Systems Manager. Por isso, recomendamos automatizar o processo de manter o SSM Agent atualizado em suas máquinas. Para ter mais informações, consulte Automatizar atualizações do SSM Agent. Inscreva-se na página Notas de versão do SSM Agent no GitHub para receber notificações sobre atualizações do SSM Agent.

Solucionar problemas usando arquivos de log do SSM Agent

SSM Agent registra informações nos arquivos a seguir. As informações nesses arquivos podem ajudar a solucionar problemas. Para obter mais informações sobre os arquivos de log do SSM Agent, incluindo como ativar o log de depuração, consulte Visualizar logs do SSM Agent.

nota

Se você optar por visualizar esses logs usando o Explorador de arquivos do Windows, certifique-se de habilitar a visualização de arquivos ocultos e arquivos do sistema nas Opções de pasta.

No Windows

  • %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

  • %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

No Linux e no macOS

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

Para nós gerenciados do Linux, você pode encontrar mais informações no arquivo messages gravado no seguinte diretório: /var/log.

Para obter mais informações sobre a solução de problemas usando logs do agente, consulte How do I use SSM Agent logs to troubleshoot issues with SSM Agent in my managed instance? no Centro de Conhecimento AWS re:Post.

Arquivos de log do agente não alternam (Windows)

Se você especificar a rotação do arquivo de log baseado em data no arquivo seelog.xml (em nós gerenciados do Windows Server) e os logs não forem alternados, especifique o parâmetro fullname=true. Veja a seguir um exemplo de um arquivo de configuração seelog.xml com o parâmetro fullname=true especificado.


<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Unable to connect to endpoint

O SSM Agent deve permitir o tráfego de saída HTTPS (porta 443) para os seguintes endpoints:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de região com suporte, consulte a coluna Region em Systems Manager service endpoints no Referência geral da Amazon Web Services.

nota

Antes de 2024, ec2messages.region.amazonaws.com também era necessário. Para Regiões da AWS lançadas antes de 2024, permitir tráfego para ssmmessages.region.amazonaws.com ainda é obrigatório, mas opcional para ec2messages.region.amazonaws.com.

Para regiões lançadas em 2024 e posteriormente, permitir tráfego para ssmmessages.region.amazonaws.com é obrigatório, mas os endpoints ec2messages.region.amazonaws.com não são compatíveis com essas regiões.

O SSM Agent não funcionará se não puder se comunicar com os endpoints anteriores, conforme descrito, mesmo se você usar as Amazon Machine Images (AMIs) fornecidas pela AWS, como Amazon Linux 2 ou Amazon Linux 2023. Sua configuração de rede deve ter acesso aberto à Internet ou você deve ter endpoints personalizados de nuvem virtual privada (VPC) configurados. Se você não planeja criar um endpoint da VPC personalizado, verifique seus gateways de Internet ou gateways NAT. Para obter mais informações sobre endpoints da VPC gerenciados por Redshift, consulte Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager.

Usa a ssm-cli para solucionar problemas de disponibilidade do nó gerenciado

A partir do SSM Agent versão 3.1.501.0, você pode usar a ssm-cli para determinar se um nó gerenciado atende aos requisitos principais para ser gerenciado pelo Systems Manager e para ser exibido nas listas de nós gerenciados no Fleet Manager. O ssm-cli é uma ferramenta de linha de comando autônoma incluída na instalação do SSM Agent. Comandos pré-configurados estão incluídos para coletar as informações necessárias que ajudam a identificar por que uma instância do Amazon EC2 ou uma máquina que não é do EC2 que você confirmou que está em execução não está incluída nas listas de nós gerenciados no Systems Manager. Esses comandos são executados quando você especifica a opção get-diagnostics.

Para ter mais informações, consulte Solucionar problemas de disponibilidade do nó gerenciado usando a ssm-cli.