Résolution des problèmes de SSM Agent - AWS Systems Manager
L'SSM Agent est obsolèteRésolution des problèmes à l'aide des fichiers journaux SSM AgentLes fichiers journaux de l'agent ne tournent pas (Windows)Impossible de se connecter aux points de terminaison SSMVérification de votre configuration VPCVérification des attributs liés au DNS de votre VPCVérification des règles d’entrée sur les groupes de sécurité de point de terminaisonUtilisation de ssm-cli pour résoudre des problèmes de disponibilité des nœuds gérés

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes de SSM Agent

Si vous rencontrez des problèmes lors de l'exécution des opérations sur vos nœuds gérés, il se peut qu'il y ait un problème avec AWS Systems Manager Agent (SSM Agent). Utilisez les informations suivantes pour vous permettre de visualiser les fichiers journaux de l'SSM Agent et dépanner l'agent. Si votre agent ne semble pas répondre ou s’il a une fréquence de communication réduite, consultez Comprendre la mise en veille prolongée de SSM Agent.

L'SSM Agent est obsolète

Une nouvelle version de SSM Agent est lancée chaque fois que de nouveaux outils sont ajoutés à Systems Manager ou que des mises à jour sont apportées aux outils existants. Le fait de ne pas utiliser la dernière version de l’agent peut empêcher votre nœud géré d’utiliser divers outils et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSM Agent. Inscrivez‑vous sur la page SSM Agent Release Notes du site Web de GitHub pour recevoir des notifications sur les mises à jour de SSM Agent.

Résolution des problèmes à l'aide des fichiers journaux SSM Agent

SSM Agent consigne des informations dans les fichiers suivants. Les informations de ces fichiers peuvent également vous aider à résoudre les problèmes. Pour de plus amples informations sur les fichiers journaux de l'SSM Agent, notamment l'activation de la journalisation du débogage, veuillez consulter Affichage des journaux SSM Agent.

Note

Si vous choisissez d'afficher ces journaux à l'aide de l'Explorateur de fichiers Windows, n'oubliez pas d'activer l'affichage des fichiers masqués et fichiers système dans les options de dossier.

Sous Windows

  • %PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log

  • %PROGRAMDATA%\Amazon\SSM\Logs\errors.log

Sous Linux et macOS

  • /var/log/amazon/ssm/amazon-ssm-agent.log

  • /var/log/amazon/ssm/errors.log

Pour les nœuds gérés Linux, vous pouvez trouver de plus amples informations dans le fichier messages rédigé dans le répertoire suivant : /var/log.

Pour en savoir plus sur le dépannage à l'aide des journaux d'agents, consultez la rubrique Comment puis-je utiliser les journaux SSM Agent pour résoudre des problèmes liés à SSM Agent dans mon instance gérée ? dans le Centre de connaissances AXS re:Post AWS .

Les fichiers journaux de l'agent ne tournent pas (Windows)

Si vous spécifiez une rotation des fichiers journaux basée sur la date dans le fichier seelog.xml (sur les nœuds gérés Windows Server) et que les journaux ne tournent pas, spécifiez le paramètre fullname=true. Voici un exemple de fichier de configuration seelog.xml pour lequel le paramètre fullname=true est spécifié.


<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>

Impossible de se connecter aux points de terminaison SSM

SSM Agent doit autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

regionreprésente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

Note

Avant 2024, ec2messages.region.amazonaws.com était également requis. Pour les Régions AWS lancements effectués avant 2024, l'autorisation du trafic ssmmessages.region.amazonaws.com est toujours obligatoire mais facultativeec2messages.region.amazonaws.com.

Pour les régions lancées à partir de 2024, l’autorisation du trafic vers ssmmessages.region.amazonaws.com est requise, mais les points de terminaison ec2messages.region.amazonaws.com ne sont pas pris en charge pour ces régions.

SSM Agentne fonctionnera pas s'il ne peut pas communiquer avec les points de terminaison précédents, comme décrit, même si vous utilisez AWS provided Amazon Machine Images (AMIs) tel qu'Amazon Linux 2 ou Amazon Linux 2023. Votre configuration réseau doit avoir un accès Internet ouvert, ou bien des points de terminaison de cloud privé virtuel (VPC) personnalisés doivent être configurés. Si vous ne prévoyez pas de créer un point de terminaison de VPC personnalisé, vérifiez vos passerelles Internet ou NAT. Pour plus d'informations sur la gestion des points de terminaison de VPC, consultez Améliorez la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager.

Vérification de votre configuration VPC

Si vous utilisez un cloud privé virtuel (VPC), afin de gérer les EC2 instances avec Systems Manager, vos points de terminaison VPC doivent être correctement configurés pour ssm.region.amazonaws.com.rproxy.govskope.cassmmessages.region.amazonaws.com, et dans certains cas expliqués plus haut dans cette rubrique dans,. Impossible de se connecter aux points de terminaison SSM ec2messages.region.amazonaws.com

Note

L'alternative à l'utilisation d'un point de terminaison de VPC est l'activation de l'accès Internet sortant sur vos instances gérées. Dans ce cas, les instances gérées doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

L'SSM Agent initie toutes les connexions au service Systems Manager dans le cloud. Vous n'avez donc pas besoin de configurer votre pare-feu pour autoriser le trafic entrant vers vos instances pour Systems Manager.

Pour de plus amples informations sur ces points de terminaison, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.

Pour résoudre les problèmes avec vos points de terminaison de VPC, procédez comme suit :

  • Assurez‑vous que les points de terminaison de VPC sont inclus au niveau du VPC. Si le point de terminaison d’un VPC portant un nom de service spécifique n’est pas trouvé sur le VPC, vérifiez d’abord que la prise en charge de DNS est activée au niveau du VPC. Créez ensuite un nouveau point de terminaison de VPC et associez‑le à un sous-réseau dans chaque zone de disponibilité.

  • Assurez‑vous qu’un nom DNS privé est activé au niveau du point de terminaison de VPC. Les noms DNS privés sont activés par défaut, mais ils peuvent avoir été désactivés manuellement à un moment donné.

  • Assurez‑vous que les points de terminaison de VPC existants sont associés au sous‑réseau approprié. En outre, assurez‑vous que le VPCE est déjà associé à un sous‑réseau dans cette zone de disponibilité.

Pour plus d’informations, consultez les rubriques suivantes :

Vérification des attributs liés au DNS de votre VPC

Si vous utilisez un cloud privé virtuel (VPC), dans le cadre de la vérification de la configuration de votre VPC, assurez‑vous que les attributs enableDnsSupport et enableDnsHostnames sont activés.

Vous pouvez activer ces attributs à l'aide de l'action ou de la AWS CLI commande d'VPCAttributeAPI Amazon EC2 Modify modify-vpc-attribute.

Pour plus d’informations sur l’activation de ces attributs dans la console Amazon VPC, consultez la section View and update DNS attributes for your VPC du guide de l’utilisateur Amazon VPC.

Note

L'alternative à l'utilisation d'un point de terminaison de VPC est l'activation de l'accès Internet sortant sur vos instances gérées. Dans ce cas, les instances gérées doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

L'SSM Agent initie toutes les connexions au service Systems Manager dans le cloud. Vous n'avez donc pas besoin de configurer votre pare-feu pour autoriser le trafic entrant vers vos instances pour Systems Manager.

Pour de plus amples informations sur ces points de terminaison, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.

Vérification des règles d’entrée sur les groupes de sécurité de point de terminaison

Assurez‑vous que tous les points de terminaison de VPC que vous avez configurés (ssm, ssmmessages et ec2messages) incluent une règle d’entrée sur leurs groupes de sécurité afin d’autoriser le trafic à entrer sur le port 443. Si nécessaire, vous pouvez créer un nouveau groupe de sécurité dans le VPC avec une règle d’entrée autorisant le trafic sur le port 443 pour le bloc de routage inter‑domaines sans classe (CIDR) du VPC. Après avoir créé le groupe de sécurité, attachez‑le à chaque point de terminaison de VPC.

Pour plus d’informations, consultez les rubriques suivantes :

Utilisation de ssm-cli pour résoudre des problèmes de disponibilité des nœuds gérés

À partir de la version 3.1.501.0 de l'SSM Agent, vous pouvez l'utiliser ssm-cli pour déterminer si un nœud géré répond aux exigences principales pour être géré par Systems Manager et pour apparaître dans les listes de nœuds gérés dans Fleet Manager. ssm-cli est un outil de ligne de commande autonome inclus dans l'installation SSM Agent. Des commandes préconfigurées rassemblent les informations requises pour vous aider à diagnostiquer pourquoi une EC2 instance Amazon ou une EC2 non-machine dont vous avez confirmé l'exécution ne figure pas dans vos listes de nœuds gérés dans Systems Manager. Ces commandes sont exécutées lorsque vous spécifiez l'option get-diagnostics.

Pour de plus amples informations, veuillez consulter Résolution des problèmes de disponibilité des nœuds gérés en utilisant ssm-cli.