Drei typische Schmerzen
Betroffene melden selten „Gateway unhealthy“ – sie sagen „der Bot antwortet nicht“ oder „die Konsole hängt“. Diese subjektiven Meldungen lassen sich auf drei wiederkehrende Muster abbilden, sobald man Nutzersymptome von internen Health-Signalen trennt.
1) Kanalstille. Dashboard lädt, aber Telegram/Slack antwortet nicht. Das isoliert fast immer Event-Zustellung, Routing-Regeln oder Token-Lebenszyklus – nicht statische Assets. Wer nur die Web-Oberfläche prüft, hält den Stack für gesund und jagt LLM-Kontingente, obwohl die Brücke nie feuerte.
2) Intermittierende Fehler. Rate Limits, DNS-Jitter, RAM-Druck und Cold-Start-Latenzen erzeugen Timeouts, die beim nächsten Retry verschwinden. Ohne archivierte health --json-Snapshots und protokollierte Zeitstempel lässt sich nicht belegen, ob das Fenster mit einem Provider-Vorfall oder lokalem Speicher zusammenfiel. Postmortems ohne Artefakte enden in Meinung statt Daten.
3) Konfig-Drift. Änderungen an allowedOrigins, API-Keys in Shell-Profilen, systemd-Units oder Docker-Compose erreichen den laufenden Prozess oft nicht. Dann wirken CORS- oder Credential-Fehler „zufällig“, bis klar ist, welche Datei, welcher User und welcher Restart-Pfad gilt.
Instrumentieren Sie vor Eskalation: Health-JSON nach jedem Deploy zu speichern liefert eine diff-freundliche Basis, wenn Brücken nachts flattern oder Zertifikate erneuert werden.
Langfristig sollten On-Call-Playbooks direkt auf die Matrix verweisen: Schritt 1 immer Status, Schritt 2 Doctor, unabhängig vom Chat-Tool. Das verhindert, dass jeder Dienstleister seine eigene Debugging-Religion einführt und Wissen in Köpfen statt in Repositories hängen bleibt.
Wenn mehrere Regionen auf ein Gateway zugreifen, dokumentieren Sie RTT-Effekte auf Timeouts und Retries: das schnellste Büro darf nicht stillschweigend aggressivere Client-Timeouts für alle erzwingen. Ein gemeinsamer Mindest-Standard für Health-Checks und Bridge-Reconnect-Backoff reduziert Überraschungen.
Speichern Sie neben Health-JSON auch die exakte CLI- und Paketversion in derselben Datei, damit Diff zwischen „gestern ok“ und „heute broken“ nicht raten lässt, ob ein Minor-Upgrade dazwischenkam.
Welche Schicht zuerst
Halten Sie immer dieselbe Reihenfolge ein: Gateway-Prozess und Port, dann openclaw doctor für statische Konsistenz, dann openclaw health --json für Laufzeit-Abhängigkeiten, danach Brücken-Logs während der Reproduktion. Direkt Node-Module neu zu installieren oder Keys zu rotieren ohne Evidenz überspringt Schichten und verschleiert die Ursache.
Prozess-Checks beantworten „lauscht etwas?“, Doctor „ist die Konfiguration intern stimmig?“, Health „erreicht diese Instanz Provider und Plugins?“, Logs „was tat der Dienst beim Nutzer-Event?“ – jeweils andere Verantwortliche: OS-Init, Plattform, Integration, Kanal-Admin.
Schlafende oder wechselnde Netzwerke auf Notebooks trennen langlebige WebSocket- oder Polling-Brücken, obwohl die Binary gesund ist. Das ist Umgebung, kein OpenClaw-Defekt, dominiert aber Kleinstteam-Incidents. Wenn derselbe Rechner Artefakte per SSH pusht, schaden Sleep-Drops doppelt.
Geteilte Gateways brauchen Grenzen: getrennte Tokens, Log-Streams und Health-Exports pro Workspace. Sonst wirkt ein falsch konfiguriertes Slack-App eines Partners wie ein „Totalausfall“ in aggregierten Metriken. Labeln Sie Metriken nach Mandant, damit Dashboards nicht alles in eine Kurve schmelzen, die niemand debuggen kann.
Version-Upgrades mit Canary: Health-JSON sichern, Staging mit gespiegelter Config, fünf CLI-Schritte, dann Promotion im ruhigen Fenster. Corporate-Proxies mit HTTPS-Interception brechen SDKs subtil; dokumentieren Sie erlaubte Ziel-URLs. DSGVO-relevante Logs brauchen dokumentierte Aufbewahrung.
Symptom-zu-Befehl-Matrix
Die Matrix ist Ihr Triage-Vertrag: Subsystem, beobachtetes Signal, billigster Falsifikationsbefehl. Exakte CLI-Flags ändern sich zwischen Releases; die Reihenfolge nicht.
Wenn API-Timeouts und fehlende Slack-Antworten gleichzeitig auftauchen, trotzdem zuerst Prozess und Doctor abschließen. Zwei echte parallele Ausfälle sind seltener als eine Ursache mit Doppelgesicht.
| Schicht | Signal | Erster Befehl | Nächster Schritt |
|---|---|---|---|
| Prozess | Verbindung verweigert | openclaw status | Port freigeben oder Dienst neu starten |
| Gateway-Config | CORS/Origin-Fehler | openclaw doctor | Config-Datei und Env korrigieren |
| LLM-API | 429/5xx | openclaw health --json | Keys, Kontingente, Provider-Status |
| Messaging | keine DM-Antworten | openclaw logs --follow | Token, Webhooks, Slack-App-Neuapproval |
Exportieren Sie die Matrix ins Wiki neben Eskalationspfaden: DNS-Owner, Slack-App-Admin, wer LLM-Keys ohne Full-Redeploy rotieren darf. Im Incident zuerst auf die Matrix zeigen, damit Schuldfragen zu klaren Checks mit Owner werden.
Fünf-Schritte-CLI-Runbook
Auf demselben Host wie Produktion ausführen. Stdout jeder Stufe in einen datierten Ordner legen, um vor/nach Config-Change oder Upgrade zu diffen.
openclaw status
openclaw doctor
openclaw health --json > /tmp/openclaw-health.json
openclaw logs --follow
curl -sS -m 5 http://127.0.0.1:18789/health || echo "probe failed"
In Docker/Kubernetes zuerst in den Workload-Namespace execen und Mount-Pfade prüfen – klassischer Grund, warum Doctor in CI grün ist, Prod aber eine andere Datei liest.
Nach cleanem Doctor trotzdem Health fahren: Doctor prüft Dateien und statische Abhängigkeiten, Health live-Credentials und Egress. Ohne Health bleiben Firewall-Regeln unsichtbar.
Während logs --follow die kleinste Nutzeraktion reproduzieren – eine DM, ein Slash-Command. Minimale Reproduktion verkürzt Rauschen und beschleunigt Tickets beim Provider mit Request-IDs.
Abgleich mit Docker-/Ressourcenleitfaden und Cloud-FAQ für konsistente Story von Tag 0 bis Betriebsmonat 60.
In Kubernetes: Sidecar- oder Init-Container-Logs mit Gateway-Logs korrelieren, wenn Service-Mesh mTLS zusätzliche Handshake-Schichten einführt. Mesh-Issues ähneln oft OpenClaw-Ausfällen, sind aber Netzwerk-Policies. Ein kurzer tcpdump oder der Mesh-Telemetry-Export spart Stunden.
Für Bare-Metal-Mac: prüfen Sie, ob Screen-Sharing, FileVault-Login-Fenster oder Energiesparmodus den Prozess anhält, den Sie für 24/7 erwarten. macOS-Energieeinstellungen gehören ins Runbook neben openclaw-Befehlen.
Wenn Sie mehrere Instanzen hinter einem Load-Balancer betreiben, archivieren Sie Health je Instanz getrennt. Aggregierte „alles grün“-Ansichten verstecken den einen Knoten mit kaputter Brücke, der nur einen Teil des Traffics sieht.
Nach jedem größeren Provider-Outage: Health erneut fahren und mit dem archivierten JSON vergleichen, bevor Sie interne Changes revertieren. Viele Postmortems zeigen, dass ein externes Fenster mit einem internen Rollback kollidierte und beides gleichzeitig schlecht aussah.
Timeouts und Schwellen
5s Timeout für schnelle lokale HTTP-Probes vom Gateway-Host. Health-JSON und Log-Slice mindestens 24h aufbewahren (länger falls Compliance). Auf kleinen Knoten etwa 1,5 GiB freien RAM-Puffer; Swap unter Last wirkt wie „Modell langsam“, obwohl die API gesund ist.
Wiederholte 403/OAuth-Zeilen innerhalb von 3 Minuten: erst Systemzeit prüfen, dann rotieren – Drift über 60s bricht Signaturen vieler Messenger.
Eskalations-Timer: Doctor fail → Config fixen, nicht Provider anrufen. Doctor ok, Kanal-Plugin in Health >15 Min degraded → Integrations-Owner, nicht LLM-On-Call.
Reverse-Proxy/TLS-Terminator separat prüfen: Health über localhost ok, Nutzer sehen 502 – Gateway-Access-Log und Proxy-Error-Log mit Zeitstempel paaren. Nginx-Upstream-Keepalive-Misskonfiguration tarnt sich oft als „OpenClaw zufällig“. Gleiches gilt für abgelaufene Zwischenzertifikate in älteren Trust-Stores auf älteren Clients, die nur bestimmte Pfade treffen.
Secrets-Rotation als Skript: Konsole, Secret-Store, dokumentierter Restart nur der betroffenen Komponenten, sofort Health erneut und JSON archivieren.
Mehrere Modelle hinter einem Gateway: pro-Provider-Fehlerbudgets im selben Dashboard wie Kanal-Latenz, sonst frisst Billig-Traffic teure Kontingente und wirkt wie Gateway-Bug. Budget-Alerts sollten vor dem Monatsende feuern, nicht erst wenn Rechnung und Nutzerzufriedenheit gleichzeitig kollabieren.
Quartalsweise Chaos: Prozess absichtlich killen, Config aus Backup, systemd/launchd/Container-Restart gegen Runbook prüfen – auch für neue Mitarbeitende ohne Mitternachtsanruf.
Für EU-Teams: welche SSH-/Gateway-Logfelder personenbezogen sind (IP, Zeitstempel, erfolgreiche Auth), wie lange sie für Incident-Response aufbewahrt werden und wer Zugriff hat, sollte neben technischen Schwellen im gleichen Runbook stehen. Ein getrennter Audit-Trail pro Zulieferer-Konto erleichtert Prüfungen und ersetzt keine technische Isolation, ergänzt sie aber.
Observability-Stack: gleichzeitige Sitzungen, Handshake-Latenz, wiederholte Bridge-Fehler ohne Speicher-Anomalien in einem Dashboard mit Release-Fenstern und Wartungskalender überlagern. Ohne Kontext wirkt jeder Fehlerpeak wie Regression. Geplante macOS-Sicherheitsupdates und sshd-Restarts explizit markieren, damit On-Call keine Retries während planbarer Unterbrechung eskaliert. Dieselbe Disziplin gilt für Zertifikatsrotation am Ingress: Health vor und nach Renewal speichern, damit TLS-Fehler nicht fälschlich der LLM-Schicht angelastet werden.
Multi-Path-Erreichbarkeit (direkt vs VPN) dokumentieren: unterschiedliche MTU und Proxies ändern Idle-Verhalten; keepalive-Werte müssen auf allen Client-Pfaden einer Organisation konsistent sein.
Schulen Sie Support kurz im Unterschied zwischen Client-Timeout und hartem Session-Limit, damit Tickets präziser werden und Plattform schneller die richtige Schicht öffnet. Ein einstündiges Lunch-and-Learn amortisiert sich über weniger Eskalationen an Wochenenden.
FAQ und Remote-Mac-Rationale
- Web ok, Chat tot: Brücken-Logs und Health-Kanalfelder zuerst; statisches Dashboard beweist keine Inbound-Events.
- Doctor grün, Timeouts: Upstream-Limits, RAM, Egress; Zeitstempel an den Provider anhängen.
- Config ignoriert: Echtes cwd, Env-Datei, Restart-Policy des laufenden PID verfolgen.
Fazit: Geschichtete Diagnose mit status, doctor, health und Logs macht aus „Bot kaputt“ klare Subsystem-Verantwortung statt endloser Schulddebatten im Chat.
Grenze: Eigen-Laptops opfern messbare und planbare Uptime für Mobilität, Schlaf und spontane OS-Updates außerhalb Ihres Wartungsfensters.
SFTPMAC: Gehosteter Remote-Mac mit Apple-Automation und SFTP-Isolation – sinnvoll, wenn OpenClaw neben SSH-Artefakt-Flows wach bleiben soll. Kombinieren Sie operative Disziplin mit wirklich stabilen Build-/Sync-Pfaden: Gateway-Host nicht dasselbe schlafende Gerät wie Ihr Meeting-Laptop.
Wir betonen erreichbare Knoten und Basisrechte für standardisierte Doctor-Sammlung. Wenn Agenten-Zuverlässigkeit wichtiger ist als altes Consumer-Notebook, gehört das Gateway auf Dauer-Infrastruktur.
Halten Sie eine kurze Liste verbotener Hotfixes: keine dauerhaften chmod 777 auf Log-Verzeichnisse, keine Secrets in Shell-History, keine öffentlichen Admin-Ports „nur für fünf Minuten“. Diese Abkürzungen kehren als Security- und Stabilitäts-Schulden zurück.
Rollen Sie Änderungen gestaffelt aus: zuerst Health-Baseline nach jedem Deploy automatisieren, dann Alerting auf Kanal-Latenz anbinden, zuletzt externe Abhängigkeiten härten. Pilotieren Sie mit einem einzigen Workspace und messen Sie P95 der Antwortzeit Brücke→Nutzer vor und nach jeder Änderung. Wenn Metriken besser aussehen, aber Handshake-Stürme zur Cloud-API steigen, haben Sie nur die Klippe verschoben – zurück zu Warteschlangen und max-parallel-ähnlichen Mustern auf Gateway-Ebene.
Einkauf und externe Agenturen früh einbinden: feste Betriebsfenster und SLA für „Nachricht zugestellt“ verhindern, dass Dritte parallel maximale Last fahren, während intern noch vorsichtige Defaults gelten. Verträge sollten technische Obergrenzen referenzieren, die Sie in Firewall, Rate-Limits und Kanal-Apps wirklich durchsetzen.
Host-Key-Pinning und bekannte_hosts-Verteilung bei rotierenden Runner-Images im Blick: jede interaktive Vertrauensabfrage in CI bricht unattended Flows und erzeugt Tickets, die fälschlich der Gateway-Kapazität zugeschrieben werden. Automatisieren Sie Vertrauensketten dort, wo möglich.
Langfristig lohnt ein gemeinsames Zeitachsen-Dashboard, das Gateway-Metriken, CI-Deploy-Zeitfenster und Marketing-Kampagnen mit hoher Bot-Nutzung überlagert. Release-Tage und Ferien mit reduzierter Admin-Präsenz verändern das Fehlerprofil; ohne Kontext wird jeder Peak zum Regression-Bug. Eine einzige Nacht disziplinierter Metriken spart Dutzende Stunden „Netzwerk jagt“-Meetings.
Kapazität für Notfall-Shells und Support-Sitzungen einplanen, damit Incident-Response nicht zufällig den letzten freien Ressourcen-Slot belegt und produktive Konversationen verdrängt. Kleiner Puffer, großer Stressabbau in kritischen Minuten.
Integrationstests sollten mindestens einen synthetischen Kanal-Ping enthalten, der nicht nur HTTP 200 liefert, sondern eine Nachricht durch die Brücke schleust und eine Antwort bestätigt. Reine Smoke-Tests auf die Admin-UI täuschen Produktionsreife vor und verschieben echte Brückenfehler in die erste Rush-Hour.
Backup-Strategie: neben Config-Dateien auch exportierte Bot-Token-Metadaten (ohne Klartext-Secrets in Tickets) und die letzten drei Health-JSON-Dateien im verschlüsselten Objektspeicher – Wiederherstellung ohne Rätselraten nach Datenverlust.
Change-Review: jede Pull-Request, die Ports, Origins oder Env-Schema ändert, muss den Abschnitt im Runbook aktualisieren oder einen Follow-up-Issue verlinken. Drift zwischen Code und Operatoren-Handbuch ist die häufigste Ursache für „wir haben deployt und nichts wusste davon“. Ergänzen Sie Release-Notes mit einem Satz „Runbook-Abschnitt X angepasst“, damit Leser wissen, ob ihre nächtliche Routine sich geändert hat.
Telegram still, Konsole lädt?
Brücke, Webhook/Long-Polling, Token-Historie; Health-JSON für Kanal-Plugins und zugehörige Log-Zeilen.
Doctor ok, sporadische 5xx?
Provider-Status, Speicher, keine Retry-Stürme während Outage; hängen Sie Health-JSON an jedes Eskalationsticket.
Wann auf Remote-Mac umziehen?
Schlaffreier 24/7-Betrieb, Team-Zugriff, Kollokation mit bestehenden macOS-Build-/Sync-Workflows und vorhersehbarer Apple-Hardware-Basis.
Dashboard öffentlich?
Lieber VPN/SSO, enge allowedOrigins und Rate-Limits – Doctor-grün ersetzt kein Threat-Model, keine Erwartung Ihrer Prüfer an Zugriffskontrolle und kein vollständiges Penetrationstest-Ergebnis.
SFTPMAC-Pläne prüfen, wenn Sie OpenClaw dauerhaft auf stabiler Mac-Hardware neben File-Sync betreiben wollen.