SSM Agent ist veraltet Probleme mithilfe von SSM Agent-Protokolldateien beheben Agent-Protokolldateien werden nicht gedreht (Windows)Keine Verbindung mit SSM-Endpunkten möglich Ihre VPC-Konfiguration überprüfen Ihre VPC-DNS-bezogenen Attribute überprüfen Die Eingangsregeln für Endpunkt-Sicherheitsgruppen überprüfen Verwenden Sie ssm-cli, um die Verfügbarkeit von verwalteten Knoten zu überprüfen

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung für SSM Agent

Wenn Sie Probleme bei der Ausführung von Vorgängen auf Ihren verwalteten Knoten haben, liegt möglicherweise ein Problem mit AWS Systems Manager Agent (SSM Agent) vor. Verwenden Sie die folgenden Informationen, um die SSM Agent-Protokolldateien anzuzeigen und Fehler für den Agent zu beheben. Wenn Ihr Agent nicht reagiert oder seltener kommuniziert, finden Sie weitere Informationen unter Grundlegendes zum SSM Agent-Ruhezustand.

Themen

SSM Agent ist veraltet
Probleme mithilfe von SSM Agent-Protokolldateien beheben
Agent-Protokolldateien werden nicht gedreht (Windows)
Keine Verbindung mit SSM-Endpunkten möglich
Ihre VPC-Konfiguration überprüfen
Ihre VPC-DNS-bezogenen Attribute überprüfen
Die Eingangsregeln für Endpunkt-Sicherheitsgruppen überprüfen
Verwenden Sie ssm-cli, um die Verfügbarkeit von verwalteten Knoten zu überprüfen

SSM Agent ist veraltet

Wenn Systems Manager neue Tools hinzugefügt oder Aktualisierungen an den vorhandenen Tools vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Tools und Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die SSM Agent-Versionshinweise-Seite in GitHub, um Benachrichtigungen über SSM Agent-Updates zu erhalten.

Probleme mithilfe von SSM Agent-Protokolldateien beheben

SSM Agent protokolliert Informationen in den folgenden Dateien. Die Informationen in diesen Dateien können Ihnen auch bei der Problembehandlung behilflich sein. Weitere Informationen zu SSM Agent-Protokolldateien, einschließlich der Aktivierung der Debug-Protokollierung, finden Sie unter Anzeigen von SSM Agent-Protokollen.

Anmerkung

Wenn Sie diese Protokolle mithilfe von Windows File Explorer anzeigen möchten, überprüfen Sie, dass Sie die Anzeige von ausgeblendeten Dateien und Systemdateien unter „Folder Options“ (Ordneroptionen) aktiviert ist.

Unter Windows

%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Unter Linux und macOS

/var/log/amazon/ssm/amazon-ssm-agent.log
/var/log/amazon/ssm/errors.log

Für Linux-verwaltete Knoten finden Sie möglicherweise weitere Informationen in der messages-Datei, die in das folgende Verzeichnis geschrieben ist: /var/log.

Weitere Informationen zur Fehlerbehebung mithilfe von Agentenprotokollen finden Sie unter Wie verwende ich SSM Agent-Protokolle zur Behebung von Problemen mit SSM Agent in meiner verwalteten Instance? im AWS re:POST Knowledge Center.

Agent-Protokolldateien werden nicht gedreht (Windows)

Wenn Sie die datumsbasierte Drehung der Protokolldatei in der Datei seelog.xml (auf von Windows Server verwalteten Knoten) angeben und die Protokolle nicht gedreht werden, geben Sie den fullname=true-Parameter an. Hier finden Sie ein Beispiel für eine seelog.xml -Konfigurationsdatei mit angegebenem fullname=true-Parameter.



<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Keine Verbindung mit SSM-Endpunkten möglich

SSM Agent muss ausgehenden HTTPS-Verkehr (Port 443) zu den folgenden Endpunkten zulassen:

ssm.region.amazonaws.com
ssmmessages.region.amazonaws.com

regionsteht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten region Werte finden Sie in der Spalte Region der Systems Manager Manager-Dienstendpunkte in der Allgemeine Amazon Web Services-Referenz.

Anmerkung

Vor 2024 war ec2messages.region.amazonaws.com ebenfalls erforderlich. Bei Produkten, die vor 2024 AWS-Regionen gestartet wurden, ssmmessages.region.amazonaws.com ist das Zulassen von Datenverkehr weiterhin erforderlich, aber optional. ec2messages.region.amazonaws.com

Für Regionen, die im Jahr 2024 oder später gestartet werden, ist das Zulassen von Datenverkehr zu ssmmessages.region.amazonaws.com erforderlich, aber ec2messages.region.amazonaws.com.rproxy.govskope.ca-Endpunkte werden für diese Regionen nicht unterstützt.

SSM Agentfunktioniert nicht, wenn es nicht wie beschrieben mit den vorherigen Endpunkten kommunizieren kann, selbst wenn Sie AWS provided Amazon Machine Images (AMIs) wie Amazon Linux 2 oder Amazon Linux 2023 verwenden. Ihre Netzwerkkonfiguration muss über einen offenen Internetzugang verfügen, oder Sie müssen benutzerdefinierte Virtual Private Cloud (VPC)-Endpunkte konfiguriert haben. Wenn Sie keinen benutzerdefinierten VPC-Endpunkt erstellen möchten, überprüfen Sie Ihre Internet-Gateways oder NAT-Gateways. Weitere Informationen dazu, wie Sie VPC-Endpunkte verwalten, finden Sie unter Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager.

Ihre VPC-Konfiguration überprüfen

Wenn Sie eine Virtual Private Cloud (VPC) verwenden, müssen Ihre VPC-Endpoints zur Verwaltung von EC2 Instanzen mit Systems Manager ordnungsgemäß fürssm.region.amazonaws.com, konfiguriert sein und in einigen Fällen weiter oben in diesem Thema unterssmmessages.region.amazonaws.com, erklärt werden. Keine Verbindung mit SSM-Endpunkten möglich ec2messages.region.amazonaws.com

Anmerkung

Die Alternative zur Verwendung eines VPC-Endpunkts ist das Aktivieren von ausgehendem Internetzugriff auf Ihren verwalteten Instances. In diesem Fall müssen die verwalteten Instances auch ausgehenden HTTPS-Datenverkehr (Port 443) zu den folgenden Endpunkten zulassen:

ssm.region.amazonaws.com
ssmmessages.region.amazonaws.com
ec2messages.region.amazonaws.com

SSM Agent initiiert alle Verbindungen zum Systems Manager-Service in der Cloud. Aus diesem Grund müssen Sie Ihre Firewall nicht so konfigurieren, dass eingehender Datenverkehr zu Ihren Instances für Systems Manager zugelassen wird.

Weitere Informationen über Anrufe an diese Endpunkte finden Sie unter Referenz: ec2messages, ssmmessages und andere API-Operationen.

Gehen Sie wie folgt vor, um Probleme mit Ihren VPC-Endpunkten zu beheben:

Stellen Sie sicher, dass VPC-Endpunkte auf VPC-Ebene enthalten sind. Wenn der VPC-Endpunkt mit einem bestimmten Servicenamen nicht auf der VPC gefunden wird, überprüfen Sie zunächst, ob die DNS-Unterstützung auf VPC-Ebene aktiviert ist. Erstellen Sie als Nächstes einen neuen VPC-Endpunkt und ordnen Sie ihn jeweils einem Subnetz in jeder Availability Zone zu.
Stellen Sie sicher, dass ein privater DNS-Name auf VPC-Endpunktebene aktiviert ist. Private DNS-Namen sind standardmäßig aktiviert, wurden aber möglicherweise irgendwann manuell deaktiviert.
Stellen Sie sicher, dass die vorhandenen VPC-Endpunkte dem richtigen Subnetz zugeordnet sind. Stellen Sie außerdem sicher, dass die VPCE bereits einem Subnetz in dieser Availability Zone zugeordnet ist.

Weitere Informationen finden Sie unter den folgenden Themen:

Zugriff auf AWS-Service über einen Schnittstellen-VPC-Endpunkt im AWS PrivateLink -Handbuch
Ordnen Sie in der Anleitung einen privaten DNS-Namen zu AWS PrivateLink
Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager

Ihre VPC-DNS-bezogenen Attribute überprüfen

Wenn Sie eine Virtual Private Cloud (VPC) verwenden, müssen Sie im Rahmen der Überprüfung Ihrer VPC-Konfiguration sicherstellen, dass die Attribute enableDnsSupport und enableDnsHostnames aktiviert sind.

Sie können diese Attribute mit der Amazon EC2 Modify VPCAttribute API-Aktion oder dem AWS CLI Befehl aktivieren modify-vpc-attribute.

Informationen zur Aktivierung dieser Attribute in der Amazon-VPC-Konsole finden Sie unter Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

Anmerkung

ssm.region.amazonaws.com
ssmmessages.region.amazonaws.com
ec2messages.region.amazonaws.com

Weitere Informationen über Anrufe an diese Endpunkte finden Sie unter Referenz: ec2messages, ssmmessages und andere API-Operationen.

Die Eingangsregeln für Endpunkt-Sicherheitsgruppen überprüfen

Stellen Sie sicher, dass alle VPC-Endpunkte, die Sie konfiguriert haben (ssm, ssmmessages und ec2messages), eine Eingangsregel für ihre Sicherheitsgruppen enthalten, um Datenverkehr über Port 443 zuzulassen. Bei Bedarf können Sie in der VPC eine neue Sicherheitsgruppe mit einer Eingangsregel erstellen, um Datenverkehr auf Port 443 für den Classless Inter-Domain Routing (CIDR)-Block für die VPC zuzulassen. Nachdem Sie die Sicherheitsgruppe erstellt haben, fügen Sie sie jedem VPC-Endpunkt hinzu.

Weitere Informationen finden Sie unter den folgenden Themen:

Wie erstelle ich VPC-Endpoints, sodass ich Systems Manager verwenden kann, um private EC2 Instances ohne Internetzugang zu verwalten? auf re:POST AWS
VPC-CIDR-Blöcke im Amazon VPC-Benutzerhandbuch

Verwenden Sie `ssm-cli`, um die Verfügbarkeit von verwalteten Knoten zu überprüfen

Ab SSM Agent-Version 3.1.501.0 können Sie mit ssm-cli feststellen, ob ein verwalteter Knoten die primären Voraussetzungen erfüllt, um von Systems Manager verwaltet zu werden und in den Listen der verwalteten Knoten in Fleet Manager zu erscheinen. Die ssm-cli ist ein eigenständiges Befehlszeilentool, das in der SSM Agent-Installation enthalten ist. Es sind vorkonfigurierte Befehle enthalten, die die erforderlichen Informationen sammeln, um Ihnen bei der Diagnose zu helfen, warum eine EC2 Amazon-Instance oder ein EC2 Amazon-Computer, von dem Sie bestätigt haben, dass sie läuft, nicht in Ihren Listen der verwalteten Knoten in Systems Manager enthalten ist. Diese Befehle werden ausgeführt, wenn Sie die get-diagnostics-Option angeben.

Weitere Informationen finden Sie unter Problembehandlung bei der Verfügbarkeit von verwalteten Knoten mit ssm-cli.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Abonnieren von SSM Agent-Benachrichtigungen

Sicherheit