SSM Agent 疑難排解

如果您在受管節點上執行作業時遇到問題， AWS Systems Manager Agent (SSM Agent) 可能是有問題。使用以下資訊以協助檢視 SSM Agent 日誌檔並對代理程式的問題進行疑難排解。

SSM Agent 過期

當新功能新增至 Systems Manager，或對現有功能更新時，會發行 SSM Agent 的更新版本。若未使用最新版本的代理程式，您的受管節點可能會無法使用各種 Systems Manager 的功能及特點。因此，我們建議您讓機器的 SSM Agent 自動保持最新狀態。如需相關資訊，請參閱 自動化 SSM Agent 更新。訂閱上的「SSM Agent版本說明」頁面，GitHub以取得有關SSM Agent更新的通知。

使用 SSM Agent 日誌檔案診斷並解決問題

SSM Agent 將資訊記錄在下列檔案中。這些檔案中的資訊也可協助您排除問題。如需有關 SSM Agent 日誌檔案的詳細資訊，包括如何開啟偵錯記錄，請參閱檢視 SSM Agent 日誌。

注意

如果您選擇使用 Windows 檔案總管查看這些日誌，請務必在資料夾選項中檢視隱藏檔案和系統檔案。

在 Windows 上

• %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

• %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

在 Linux 和 macOS 上

• /var/log/amazon/ssm/amazon-ssm-agent.log

• /var/log/amazon/ssm/errors.log

對於 Linux 受管節點，您可能會在寫入到以下目錄的 messages 檔案中找到更多資訊：/var/log。

如需使用代理程式日誌診斷並解決問題的詳細資訊，請參閱 AWS re:Post 知識中心中的「如何使用 SSM Agent 日誌診斷並解決受管執行個體中的 SSM Agent 問題？」一文。

代理程式日誌檔案不會輪換 (Windows)

如果您在 seelog.xml 檔案中指定以日期為基礎的日誌檔案輪換 (在 Windows Server 受管節點上)，且日誌不會輪換，請指定 fullname=true 參數。以下是已指定 fullname=true 參數的 seelog.xml 組態檔案的範例。

<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

無法連線到SSM端點

SSM Agent必須允許 HTTPS (連接埠 443) 輸出流量傳輸至下列端點：

• ssm.region.amazonaws.com

• ssmmessages.region.amazonaws.com

region 代表 AWS 區域 支援的識別碼 AWS Systems Manager，us-east-2例如美國東部 (俄亥俄) 區域。如需支援的清單 region 值，請參閱中 Systems Manager 服務端點中的「區域」欄Amazon Web Services 一般參考。

注意

在 2024 年之前，也ec2messages.region.amazonaws.com是必需的。對於 2024 年之前 AWS 區域 推出，仍然需要允許流量，但ssmmessages.region.amazonaws.com是可選的ec2messages.region.amazonaws.com。

對於 2024 年及更新版本啟動的區域，需要允許流量傳輸，但這些區域不支援ec2messages.region.amazonaws.com端點。ssmmessages.region.amazonaws.com

SSM Agent如上所述，如果無法與上述端點進行通信，則該端點將無法正常工作，即使您使用 AWS 提供的Amazon Machine Images（AMIs），例如 Amazon Linux 2 或 Amazon Linux 2023。您的網路組態必須具有開放式網際網路存取權，或者您必須設定自訂虛擬私有雲端 (VPC) 端點。如果您不打算建立自訂VPC端點，請檢查您的網際網路閘道或NAT閘道。如需如何管理VPC端點的詳細資訊，請參閱使用 Systems Manager 的VPC端點來改善EC2執行個體的安全性。

使用 ssm-cli 診斷並解決受管節點的可用性問題

從 SSM Agent 3.1.501.0 版開始，您可以使用 ssm-cli 判斷受管理節點是否滿足由 Systems Manager 管理的主要要求，以及是否顯示在 Fleet Manager 中的受管節點清單中。ssm-cli 是獨立的命令列工具，包含在 SSM Agent 安裝中。包含預先設定的命令，可收集必要資訊，協助您診斷為何您已確認EC2執行的 Amazon 執行個體或非EC2機器未包含在 Systems Manager 中的受管節點清單中。這些命令會在您指定 get-diagnostics 選項時執行。

如需詳細資訊，請參閱使用 ssm-cli 診斷並解決受管節點的可用性問題。