排除 SSM Agent 的故障
如果您在托管式节点上运行操作时遇到问题,可能是 Amazon Systems Manager Agent (SSM Agent) 出现了问题。使用以下信息可帮助您查看 SSM Agent日志文件和排查该代理的问题。
SSM Agent 已过时
如果有新功能添加至 Systems Manager 或者对现有功能进行了更新,则将发布 SSM Agent 的更新版本。不能使用代理的最新版本可能会阻止托管式节点使用各种 Systems Manager 功能和特性。因此,我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关信息,请参阅 自动更新到 SSM Agent。要获得有关 SSM Agent 更新的通知,请在 GitHub 上订阅 SSM Agent 发布说明
查看 SSM Agent 日志文件
SSM Agent在下列日志文件中记录信息。这些文件中的信息还可以帮助您排查问题。有关 SSM Agent 日志文件的更多信息(包括如何打开调试日志记录),请参阅 查看 SSM Agent 日志。
如果您选择使用 Windows 文件资源管理器查看这些日志,请务必在“文件夹选项”中允许查看隐藏文件和系统文件。
在 Windows 上
-
%PROGRAMDATA%\Amazon\SSM\Logs\amazon-ssm-agent.log -
%PROGRAMDATA%\Amazon\SSM\Logs\errors.log
在 Linux 和 macOS 上
-
/var/log/amazon/ssm/amazon-ssm-agent.log -
/var/log/amazon/ssm/errors.log
对于 Linux 托管式节点,您可以在写入以下目录的 messages 文件中查找更多信息:/var/log。
代理日志文件不会滚动 (Windows)
如果您在 seelog.xml 文件(在 Windows Server 托管式节点上)中指定基于日期的日志文件轮换,并且日志不轮换,请指定 fullname=true 参数。下面是指定了 fullname=true 参数的 seelog.xml 配置文件的示例。
<seelog type="adaptive" mininterval="2000000" maxinterval="100000000" critmsgcount="500" minlevel="debug"> <exceptions> <exception filepattern="test*" minlevel="error" /> </exceptions> <outputs formatid="fmtinfo"> <console formatid="fmtinfo" /> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\amazon-ssm-agent.log" fullname=true /> <filter levels="error,critical" formatid="fmterror"> <rollingfile type="date" datepattern="200601021504" maxrolls="4" filename="C:\ProgramData\Amazon\SSM\Logs\errors.log" fullname=true /> </filter> </outputs> <formats> <format id="fmterror" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtdebug" format="%Date %Time %LEVEL [%FuncShort @ %File.%Line] %Msg%n" /> <format id="fmtinfo" format="%Date %Time %LEVEL %Msg%n" /> </formats> </seelog>
无法连接到 SSM 端点
SSM Agent 必须能够连接到以下端点:
-
ssm.region.amazonaws.com -
ssmmessages.region.amazonaws.com -
ec2messages.region.amazonaws.com
region 表示 Amazon Systems Manager 支持的 Amazon Web Services 区域 的标识符,例如 us-east-2 对应美国东部(俄亥俄)区域。有关受支持的 region 值的列表,请参阅亚马逊云科技一般参考中的 Systems Manager 服务终端节点中的 Region(区域)列。
如果 SSM Agent 无法与前面的端点进行通信,则其无法正常运行,即使您使用 Amazon 提供的 Amazon Machine Images (AMIs),例如 Amazon Linux 或 Amazon Linux 2。您的网络配置必须具有开放的互联网访问权限,或者您必须配置自定义 Virtual Private Cloud (VPC) 端点。如果您不打算创建自定义 VPC 端点,请检查您的互联网网关或 NAT 网关。有关如何管理 VPC 端点的更多信息,请参阅 第 6 步:创建 VPC 端点。