2026年 OpenClaw 本番ログ:openclaw logs 収集・マスキングとリモート Mac
緑の gateway probe は狭い瞬間の証明に過ぎません。TLS アラート、上流429、WebSocket close code は openclaw logs --since で窓を切らないと時系列に乗りません。
プローブだけでは足りない理由
ヘルスチェックが別ポートや別経路を叩くと、実ユーザー流量とは結果がズレます。ログが無いとネット障害とアプリ不具合を混同します。
更新直後は which -a openclaw が新バイナリを示しても launchd が古い ProgramArguments を抱えたままのことがあります。plist と起動時刻を必ず添付します。
チケットへのスクショ貼り付けはヘッダ漏えいの温床です。マスキング済みテキストの方が監査に耐えます。
systemd ユーザー単位で linger 無しだと SSH 終了と共にログシンクが消え、夜間の半分が欠落します。
収集と共有の判断表
対話 tail は速いが証拠として弱い。ローテファイルは継続性が高く、規制チームでは保持ラベルと承認が要ります。
| モード | 向き | 証拠力 | コンプラ |
|---|---|---|---|
| 対話 tail | ライブ切り分け | 中 | スクショ漏えい |
| ローテファイル | 24/7 ゲートウェイ | 高 | umask・world-readable 禁止 |
| 統制付きエクスポート | ベンダ連携 | 高 | 期限付き presigned |
| SIEM のみ | 集中ログ済み | 中〜高 | フィールドマッピングと承認 |
マスキング済み最小再現パッケージの七手順
公式の status→gateway probe→doctor→channels を先に済ませ、長い follow は最後に回します。早すぎる follow は最初の失敗握手を埋めます。
openclaw --version
openclaw gateway --version
which -a openclaw
openclaw status
openclaw gateway probe
openclaw gateway status
openclaw doctor
openclaw channels status --probe
openclaw logs --since 30m- 変更の凍結:シリアル、egress IP、プロキシ、チケットIDを記録。
- 構造化JSON:
gateway statusの runtime / listener を別ファイルに。 - doctor 分離:無視項目が致命行と混ざらないよう単独出力。
- プローブ相関:
channels status --probeの時刻とプロバイダ行を突き合わせ。 - マスキング:Authorization / Bearer / sk- / 秘密鍵 / ランダム state を置換し HTTP コードは残す。
- パッケージ境界:
~/.openclawレイアウト、plist または unit 抜粋、直近3回の再起動境界。 - ハッシュと失効:ファイルごと sha256、presigned アップロード、確認後に削除。
数値目安:窓・inode・サンプリング
表は自社メディアンを測るための目安です。Node 更新直後は依存再解決で DNS が連打されるため、ローリング窓を長めに取ります。
| シナリオ | 初期窓 | ディスク余白 | リトライ |
|---|---|---|---|
| アップグレード直後1時間 | 120分ローリング | 空き15% | 最低30秒間隔 |
| 断続チャネル | 6時間+監視周期 | inode 10% | 指数バックオフ最大5分 |
| モデル429嵐 | 30分高密度 | ログ専用ボリューム | シングルフライト |
inode と空きGB は別物です。小さなログファイル大量生成で inode だけ枯れるケースを監視に入れてください。
zstd の中程度レベルならノートPCのCPU負荷を抑えつつ転送量を削れます。
マスキングスクリプトは合成秘密を含むフィクスチャで回帰テストし、禁止部分文字列を CI で検査します。
ベンダには読み取り専用・時間制限セッションを優先し、ダメなら15分ごとのマスキング断片とチェックサムを送ります。
DNS 応答、鍵を含まない TLS 要約、プロキシ hop をゲートウェイ行と同じ窓に揃えないと誤帰属が残ります。
HTTP/2 から HTTP/1.1 へのダウングレード有無をログに残すと、中間装置起因の切断を切り分けやすくなります。
gateway status --deep が禁止なら、許可された最小フィールドだけ社内金庫に置き、公開チケットには参照IDだけ載せます。
30分以内に Runbook だけでパッケージを作るドリルで抜け穴を洗い出し、毎回チェックリストを更新します。
アーカイブ名にチケット・シリアル・UTC を入れ、複数人作業ならイニシャルを付けて上書き事故を防ぎます。
短い動画よりコピー可能なコマンドブロックを正とし、差分管理します。
リモート Mac の launchd と IO
StandardOutPath でゲートウェイログとビルド成果物を分離し、巨大 rsync がログ書き込みを飢えさせないようボリュームを分けます。
Node 更新後は launchctl bootout/bootstrap でラベルを取り直し、メモリ上の古いパス解決を避けます。
FAQ
doctor は現在の健全性、logs は時系列です。資格情報ディレクトリは原則zipに入れず、権限とツリー説明に留めます。
まとめ
公式階段の後に logs を置き、マスキングとハッシュで外付け共有すれば、アップグレードと429とネットワークを同じ時間軸で説明できます。
リモート Mac の運用負荷を下げるなら SFTPMAC のホスティングを検討してください。料金。