• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Risoluzione dei problemi relativi a SSM Agent
<a name="troubleshooting-ssm-agent"></a>

Se riscontri problemi nell'esecuzione delle operazioni sui nodi gestiti, potrebbe esserci un problema con AWS Systems Manager Agent (SSM Agent). Le informazioni seguenti sono utili per visualizzare i file di log di SSM Agent e risolvere i problemi relativi all'agente. Se il tuo agente sembra non rispondere o ha una frequenza di comunicazione ridotta, consulta [Comprendere l'SSM Agentibernazione](ssm-agent-technical-details.md#ssm-agent-hibernation). 

**Topics**
+ [SSM Agent non è aggiornato](#ssm-agent-out-of-date)
+ [Risolvere i problemi utilizzando i file di log di SSM Agent](#systems-manager-ssm-agent-log-files)
+ [I file di log dell'agente non ruotano (Windows)](#systems-manager-ssm-agent-troubleshooting-log-rotation)
+ [Impossibile connettersi agli endpoint SSM](#systems-manager-ssm-agent-troubleshooting-endpoint-access)
+ [Verifica la configurazione VPC](#agent-ts-vpc-configuration)
+ [Verifica gli attributi del tuo VPC DNS-related](#agent-ts-dns-attributes)
+ [Verifica le regole di accesso sui gruppi di sicurezza degli endpoint](#agent-ts-ingress-egress-rules)
+ [Utilizzare `ssm-cli` per risolvere i problemi relativi alla disponibilità dei nodi gestiti](#agent-ts-ssm-cli)

## SSM Agent non è aggiornato
<a name="ssm-agent-out-of-date"></a>

Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o eseguiti aggiornamenti degli strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consulta [Automazione degli aggiornamenti di SSM Agent](ssm-agent-automatic-updates.md). Iscriviti alla pagina [Note di rilascio di SSM Agent](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) su GitHub per ricevere notifiche sugli aggiornamenti di SSM Agent.

## Risolvere i problemi utilizzando i file di log di SSM Agent
<a name="systems-manager-ssm-agent-log-files"></a>

SSM Agent registra informazioni nei file seguenti. Le informazioni in questi file possono agevolare la risoluzione dei problemi. Per ulteriori informazioni sui file di log di SSM Agent, incluso come attivare la registrazione di debug, consultare [Visualizzazione dei log di SSM Agent](ssm-agent-logs.md).

**Nota**  
Se si sceglie di visualizzare questi registri utilizzando Esplora file di Windows, ricordarsi di consentire la visualizzazione di file nascosti e file di sistema in Opzioni cartella.

**Su Windows**
+  `%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log` 
+  `%PROGRAMDATA%\Amazon\SSM\Logs\errors.log` 

**Su Linux e macOS**
+  `/var/log/amazon/ssm/amazon-ssm-agent.log` 
+  `/var/log/amazon/ssm/errors.log` 

Per i nodi gestiti Linux, è possibile trovare ulteriori informazioni nel file `messages` scritte nella directory seguente: `/var/log`.

Per ulteriori informazioni sulla risoluzione dei problemi utilizzando i log dell'agente, consulta [Come posso utilizzare i log di SSM Agent per risolvere i problemi relativi all’SSM Agent nella mia istanza gestita?](https://repost.aws/knowledge-center/ssm-agent-logs) nel *Knowledge Center di AWS re:Post*.

## I file di log dell'agente non ruotano (Windows)
<a name="systems-manager-ssm-agent-troubleshooting-log-rotation"></a>

Se si specifica la rotazione del file di log basata sulla data nel file seelog.xml (sui nodi gestiti Windows Server) e i log non ruotano, specificare il parametro `fullname=true`. Ecco un esempio di file di configurazione seelog.xml con il parametro `fullname=true` specificato.

```
<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug">
   <exceptions>
      <exception filepattern="test*" minlevel="error" />
   </exceptions>
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo" />
      <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname="true" />
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname="true" />
      </filter>
   </outputs>
   <formats>
      <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" />
      <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" />
   </formats>
</seelog>
```

## Impossibile connettersi agli endpoint SSM
<a name="systems-manager-ssm-agent-troubleshooting-endpoint-access"></a>

SSM Agent deve permettere il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:
+  `ssm.{{region}}.amazonaws.com` 
+  `ssmmessages.{{region}}.amazonaws.com` 

{{region}}rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio). Per un elenco dei {{region}} valori supportati, vedere la colonna **Regione** negli [endpoint del servizio Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in. *Riferimenti generali di Amazon Web Services*

**Nota**  
Prima del 2024, veniva richiesto anche `ec2messages.{{region}}.amazonaws.com`. Per i Regioni AWS modelli lanciati prima del 2024, consentire al traffico di arrivare `ssmmessages.{{region}}.amazonaws.com` è ancora obbligatorio ma facoltativo. `ec2messages.{{region}}.amazonaws.com`   
Per le regioni lanciate dal 2024 in poi, è necessario consentire l'accesso al traffico a `ssmmessages.{{region}}.amazonaws.com`, ma gli endpoint `ec2messages.{{region}}.amazonaws.com` non sono supportati per queste Regioni.

SSM Agentnon funzionerà se non è in grado di comunicare con gli endpoint precedenti, come descritto, anche se utilizzi AWS provided Amazon Machine Images (AMIs) come Amazon Linux 2 o Amazon Linux 2023. La configurazione di rete deve disporre di un accesso a Internet aperto oppure è necessario disporre di endpoint del cloud privato virtuale (VPC) personalizzati configurati. Se non si prevede di creare un endpoint VPC personalizzato, controllare i gateway Internet o i gateway NAT. Per maggiori informazioni su come gestire gli endpoint VPC, consultare [Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager](setup-create-vpc.md).

## Verifica la configurazione VPC
<a name="agent-ts-vpc-configuration"></a>

Se utilizzi un cloud privato virtuale (VPC), per gestire le istanze EC2 con Systems Manager, è necessario che gli endpoint VPC vengano configurati correttamente per `ssm.{{region}}.amazonaws.com`, `ssmmessages.{{region}}.amazonaws.com` e, in alcuni casi spiegati in precedenza in questo argomento, per [Impossibile connettersi agli endpoint SSM](#systems-manager-ssm-agent-troubleshooting-endpoint-access) e `ec2messages.{{region}}.amazonaws.com`. 

**Nota**  
L'alternativa all'utilizzo di un endpoint VPC è l'abilitazione dell'accesso a Internet in uscita sulle istanze gestite. In questo caso, le istanze gestite devono consentire anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:  
`ssm.{{region}}.amazonaws.com`
`ssmmessages.{{region}}.amazonaws.com`
`ec2messages.{{region}}.amazonaws.com`
SSM Agent avvia tutte le connessioni al servizio Systems Manager nel cloud. Per questo motivo, non è necessario configurare il firewall per consentire il traffico in ingresso verso le istanze di Systems Manager.  
Per ulteriori informazioni sulle chiamate a questi endpoint, consulta [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).

Per risolvere i problemi relativi agli endpoint VPC, esegui queste operazioni: 
+ Assicurati che gli endpoint VPC siano inclusi a livello di VPC. Quando l'endpoint VPC con un nome di servizio specifico non viene trovato sul VPC, verifica innanzitutto che il supporto DNS sia abilitato a livello di VPC. Successivamente, crea un nuovo endpoint VPC e associalo a una sottorete in ogni zona di disponibilità. 
+ Assicurati che un nome DNS privato sia abilitato a livello di endpoint VPC. I nomi DNS privati sono abilitati per impostazione predefinita, ma a un certo punto potrebbero essere stati disabilitati manualmente.
+ Assicurati che gli endpoint VPC esistenti siano associati alla sottorete corretta. Inoltre, assicurati che il VPCE sia già associato a una sottorete in quella zona di disponibilità.

Per ulteriori informazioni, consulta i seguenti argomenti: 
+ [Accesso a un Servizio AWS utilizzando un endpoint VPC](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html) nella *Guida AWS PrivateLink *
+ [Associa un nome DNS privato](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#associate-private-dns-name) nella *Guida AWS PrivateLink *
+ [Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager](setup-create-vpc.md)

## Verifica gli attributi del tuo VPC DNS-related
<a name="agent-ts-dns-attributes"></a>

Se utilizzi un cloud privato virtuale (VPC) durante la verifica della configurazione del VPC, è necessario assicurarsi che gli attributi `enableDnsSupport` e `enableDnsHostnames` siano abilitati. 

[Puoi abilitare questi attributi utilizzando l'azione [ModifyVPCAttribute API di Amazon EC2 o il comando modify-vpc-attribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html). AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-attribute.html) 

Per informazioni sull'attivazione di questi attributi nella console di Amazon VPC, consulta [Visualizzazione e aggiornamento degli attributi DNS per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns-updating.html) nella *Guida per l'utente di Amazon VPC*.

**Nota**  
L'alternativa all'utilizzo di un endpoint VPC è l'abilitazione dell'accesso a Internet in uscita sulle istanze gestite. In questo caso, le istanze gestite devono consentire anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:  
`ssm.{{region}}.amazonaws.com`
`ssmmessages.{{region}}.amazonaws.com`
`ec2messages.{{region}}.amazonaws.com`
SSM Agent avvia tutte le connessioni al servizio Systems Manager nel cloud. Per questo motivo, non è necessario configurare il firewall per consentire il traffico in ingresso verso le istanze di Systems Manager.  
Per ulteriori informazioni sulle chiamate a questi endpoint, consulta [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).

## Verifica le regole di accesso sui gruppi di sicurezza degli endpoint
<a name="agent-ts-ingress-egress-rules"></a>

Assicurati che tutti gli endpoint VPC configurati (`ssm``ssmmessages`, e`ec2messages`) includano una regola di ingresso sui relativi gruppi di sicurezza per consentire l'ingresso del traffico sulla porta 443. Se necessario, puoi creare un nuovo gruppo di sicurezza nel VPC con una regola di ingresso per consentire il traffico sulla porta 443 per il blocco Classless Inter-Domain Routing (CIDR) per il VPC. Dopo aver creato il gruppo di sicurezza, collegalo a ciascun endpoint VPC. 

Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Come posso creare endpoint VPC in modo da poter utilizzare Systems Manager per gestire istanze EC2 private senza accesso a Internet?](https://repost.aws/knowledge-center/ec2-systems-manager-vpc-endpoints) su Re:post AWS 
+ [Blocchi VPC CIDR](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cidr-blocks.html) nella *Guida per l'utente di Amazon VPC*

## Utilizzare `ssm-cli` per risolvere i problemi relativi alla disponibilità dei nodi gestiti
<a name="agent-ts-ssm-cli"></a>

A partire da SSM Agent versione 3.1.501.0, è possibile utilizzare `ssm-cli` per determinare se un nodo gestito soddisfa i requisiti principali per essere gestito da Systems Manager e per apparire negli elenchi di nodi gestiti in Fleet Manager. `ssm-cli` è uno strumento a riga di comando autonomo incluso nell'installazione di SSM Agent. Sono inclusi comandi preconfigurati che raccolgono le informazioni richieste per la diagnostica del motivo per cui un'istanza Amazon EC2 o una macchina non EC2 confermata come in esecuzione non è inclusa negli elenchi dei nodi gestiti in Systems Manager. Questi comandi vengono eseguiti quando si specifica l'opzione `get-diagnostics`.

Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti tramite `ssm-cli`](troubleshooting-managed-nodes-using-ssm-cli.md).