Три боли
Операторы OpenClaw редко заводят тикет с формулировкой «шлюз нездоров». Чаще пишут «бот перестал отвечать» или «консоль крутится бесконечно». Субъективные жалобы хорошо раскладываются на инженерные шаблоны, если отделить то, что видит пользователь, от внутренних сигналов здоровья сервиса.
1) Тишина канала. Telegram или Slack не получает ответов, тогда как панель по-прежнему отдаёт статику с шлюза. Такой силуэт почти всегда указывает на доставку входящих событий, правила маршрутизации или жизненный цикл токенов — а не на «падение сервера». Команды, которые проверяют только веб-интерфейс, ошибочно считают стек исправным и тратят часы на квоты LLM, хотя узким местом был мост сообщений.
2) Прерывистые ошибки. Лимиты провайдера, дрожь DNS, нехватка памяти и холодный старт дают таймауты, которые исчезают при следующей попытке. Без архивных снимков health --json и строк журнала с метками времени нельзя доказать, совпало ли окно сбоя с инцидентом у вендора или с локальным исчерпанием RAM. Постмортемы без артефактов превращаются в обмен мнениями.
3) Дрейф конфигурации. Правки allowedOrigins, ключей в профилях оболочки, unit-файлах systemd или окружениях Docker часто не доходят до работающего процесса. Наблюдатель видит «случайные» ошибки CORS или пропавшие учётные данные, потому что демон всё ещё читает вчерашний путь к файлу. Зафиксируйте, под каким пользователем, из какого рабочего каталога и какой командой перезапускается сервис после каждого изменения.
Инструментируйте до эскалации. Лёгкая привычка сохранять JSON после каждого выката даёт сравнимый базис, когда мост начинает дёргаться ночью или после обновления сертификатов.
С какого слоя начинать
Придерживайтесь фиксированной последовательности: убедитесь, что процесс шлюза жив и слушает порт; выполните openclaw doctor для статической проверки конфигурации; снимите openclaw health --json для состояния зависимостей во время выполнения; затем ведите хвост логов моста, воспроизводя пользовательский сценарий. Прыжок сразу к переустановке зависимостей или ротации ключей обходит доказательства и часто маскирует настоящий слой отказа.
Процесс отвечает на вопрос «кто-то слушает порт?». Doctor — «согласованы ли файлы и статические зависимости?». Health — «достигает ли этот экземпляр провайдеров и плагинов?». Журналы — «что мы фактически сделали, когда пользователь отправил сообщение?». На каждый вопрос назначен свой владелец: инициализация ОС, платформенный инженер, интегратор или администратор канала.
Ноутбуки, засыпающие или переключающие сеть, рвут долгоживущие WebSocket или опрос моста, даже если бинарник исправен. Это класс окружающих сбоев, а не дефект OpenClaw, но именно он доминирует в инцидентах небольших команд. Если конвейер артефактов толкает файлы по SSH с той же машины, обрывы от сна бьют дважды.
Мультиарендные или общие шлюзы требуют явных границ: отдельные токены, отдельные потоки логов и отдельные выгрузки health на рабочее пространство. Иначе ошибка Slack-приложения у одного партнёра выглядит как «глобальный сбой» в агрегированных метриках.
Обновления версий заслуживают мини-канареечного контура: снимите health JSON, обновите стенд с зеркалом конфигурации, повторите пять шагов CLI, затем промотируйте в окно низкой нагрузки. Пропуск стенда часто приводит к разбору трасс под прод-нагрузкой вместо спокойного сравнения вывода health.
Задокументируйте исходящие URL, которые должны быть доступны из подсети шлюза. Корпоративные прокси с подменой HTTPS ломают SDK провайдеров тонко — doctor может ничего не увидеть, пока не выполнится health. Актуальный allow list снижает число тикетов «загадочный TLS», которые неделями перекидываются между безопасностью и платформой.
При передаче дежурства прикладывайте к тикету последний снимок health --json, укороченный фрагмент журнала с меткой времени и одну сводку из openclaw status. Принимающий инженер тратит меньше минут на понимание, на каком слое застряли, и не начинает заново с переустановки пакетов.
Если перед шлюзом балансировщик или несколько реплик, повторяйте пять шагов на каждом экземпляре: расхождение версий, локального кэша или переменных окружения даёт картину «у половины пользователей всё хорошо», которую единичный health с «главного» узла не раскроет.
Нормализуйте часовые пояса в системах логирования и на хостах: смешение UTC и локального времени маскирует корреляцию с публичными инцидентами провайдера и затягивает разбор OAuth-подписей.
Матрица «симптом → команда»
Используйте матрицу как контракт триажа для дежурства: первый столбец называет подсистему, второй — что реально видят пользователи или мониторинг, третий — самую дешёвую команду, опровергающую гипотезу. Точные флаги CLI эволюционируют между релизами; порядок расследования должен оставаться стабильным.
Если подозрительны два слоя — например и таймауты API, и отсутствие ответов в Slack — всё равно завершите проверки процесса и doctor. Параллельные аварии реже, чем один корень, который маскируется под два симптома.
| Слой | Признак | Первая команда | Дальше |
|---|---|---|---|
| Процесс | отказ в соединении | openclaw status | освободить порт или перезапустить сервис |
| Конфиг шлюза | CORS/origin | openclaw doctor | исправить файл и подачу env |
| API LLM | 429/5xx | openclaw health --json | ключи, квоты, статус провайдера |
| Сообщения | нет ответов в DM | openclaw logs --follow | токены, вебхуки, повторное одобрение Slack-приложения |
Вынесите матрицу во внутреннюю вики рядом с путями эскалации: кто владеет DNS, кто настраивает Slack-приложение, кто может ротировать ключи LLM без полного выката. В инциденте сначала дайте людям ссылку на таблицу — споры о вине превращаются в назначенные проверки с владельцами и критериями выхода.
Пятиступенчатый CLI-ранбук
Выполняйте последовательность на том же хосте, который обслуживает прод-трафик. Сохраняйте stdout каждого шага в каталог с датой, чтобы сравнивать до и после смены конфигурации или пакета.
openclaw status
openclaw doctor
openclaw health --json > /tmp/openclaw-health.json
openclaw logs --follow
curl -sS -m 5 http://127.0.0.1:18789/health || echo "probe failed"
В Docker или Kubernetes выполняйте команды внутри пространства имён рабочей нагрузки. Проверьте монтирование томов: контейнер должен читать тот же файл конфигурации, который правили на административном ноутбуке. Расхождение путей монтирования — частая причина «doctor зелёный в CI, красный в проде».
Даже после чистого doctor запускайте health: doctor валидирует файлы и статические зависимости, health проверяет живые учётные данные и исходящую связность. Пропуск health оставляет слепые зоны вокруг правил файрвола, которые проявляются только во время выполнения.
Пока работает logs --follow, воспроизведите минимальное действие пользователя — одно личное сообщение, одну slash-команду, один повтор вебхука. Минимальное воспроизведение сокращает шум в логе и ускоряет корреляцию с идентификаторами запросов у вендора, если понадобится тикет с инженерным уровнем доказательств.
Согласуйте этот ранбук с рекомендациями по Docker и ресурсам в гайде по стабильности prod и с типовыми ошибками первой установки из FAQ облачного развёртывания, чтобы новые сотрудники видели единую линию от нулевого дня до шестидесятого дня эксплуатации.
Таймауты и пороги
Зафиксируйте внутренние базовые значения, чтобы оповещения означали нечто конкретное. Для быстрых локальных HTTP-проб с хоста шлюза используйте таймаут 5 с: дольше смешиваются реальные зависания с терпением оператора. Храните соответствующий health --json рядом с фрагментом журнала, снятым во время инцидента, минимум 24 ч — дольше, если комплаенс требует хранения для ревизий доступа.
На компактных одноузловых развёртываниях поддерживайте порядка 1,5 GiB свободной RAM под пики. Цепочки инструментов LLM всплеском потребляют память при параллельных диалогах; уход в swap на macOS или Linux даёт задержки, похожие на «медленную модель», хотя API исправен.
Если в логах повторяются ответы 403 или сбои OAuth в течение трёх минут, ротируйте учётные данные только после проверки смещения системных часов. Дрейф свыше примерно 60 с ломает проверку подписи у ряда мессенджеров и порождает отчёты «вчера работало».
Определите таймеры эскалации: при падении doctor остановитесь и исправьте конфигурацию до трогания провайдеров. Если doctor чист, но health помечает деградацию плагина канала дольше пятнадцати минут, зовите владельца интеграции, а не дежурного по LLM.
Обратным прокси и TLS-терминаторам нужен отдельный пункт чек-листа. Когда health успешен на localhost, а пользователи видят прерывистые 502, соберите access-лог шлюза и error-лог прокси с совпадающими метками времени. Неверно настроенные пулы keepalive между nginx и Node часто выглядят как «случайные ошибки OpenClaw», хотя doctor не видит путь, по которому ходят внешние клиенты.
Ротация секретов должна быть сценарием в скриптах: обновить консоль провайдера, обновить хранилище секретов, перезапустить только задокументированные компоненты, затем немедленно повторить health и заархивировать новый JSON. Случайные экспорты в истории оболочки — путь к утечкам токенов и расхождению окружений между коллегами.
Если за одним шлюзом несколько моделей, ведите бюджеты ошибок по провайдерам на той же панели, что и задержки каналов. Иначе всплеск дешёвой модели съедает квоту премиальной и выглядит как баг шлюза, хотя это управление стоимостью.
Наконец, репетируйте отказ ежеквартально: завершите процесс шлюза намеренно, восстановитесь из резервной копии конфигурации и убедитесь, что политики перезапуска systemd, launchd или контейнера всё ещё совпадают с документированным ранбуком, который новый инженер выполнит без звонка в полночь.
После закрытия инцидента заполните короткий постмортем-шаблон: что видели пользователи, какие команды выполняли, какие файлы и секреты трогали, какой PID нес основную нагрузку и какие внешние статусы совпали по шкале времени. Такие заметки окупаются, когда сценарий повторяется через месяц, а устная память команды уже переписалась.
Создайте единый каталог артефактов диагностики для гибридных команд разработки и эксплуатации: ссылка на архив с health, срезом логов, выводом doctor и результатом curl-пробы снижает трение между инженером, воспроизводящим баг на ноутбуке, и дежурным, смотрящим прод.
Если запись о шлюзе есть во внутреннем каталоге сервисов, привяжите к ней минимальный набор синтетических проверок, повторяющих первые два шага ранбука, чтобы регрессия на слое процесса или конфигурации всплывала до того, как канал перестанет отвечать.
FAQ и зачем удалённый Mac
- Веб в порядке, чат мёртв: начните с логов моста и полей канала в health; статическая панель почти ничего не доказывает о входящих событиях.
- Doctor зелёный, но таймауты: перенесите внимание на лимиты upstream, память и исходящий путь; прикладывайте метки времени при обращении к вендору модели.
- Изменения конфига игнорируются: проследите реальный рабочий каталог, файл окружения и политику перезапуска для текущего PID прежде чем править снова.
Резюме: многослойная диагностика через status, doctor, health и журналы превращает шумные отчёты «бот сломался» в назначаемое владение подсистемами и проверяемые шаги.
Ограничение: самостоятельные ноутбуки меняют аптайм на мобильность. Сон, смена VPN и дрейф прав одного пользователя доминируют в объёме инцидентов у соло-операторов.
Позиция SFTPMAC: управляемый удалённый Mac даёт нативную автоматизацию Apple рядом с изолированными SFTP-каталогами, стабильное питание и общие паттерны эксплуатации — полезно, когда OpenClaw должен оставаться онлайн параллельно с уже привычными SSH-потоками артефактов.
Мы делаем упор на достижимость узлов и базовые права файловой системы, чтобы стандартизировать сбор вывода doctor и логов в разных средах. Когда надёжность агентов важнее экономии на железе, перенос шлюза на инфраструктуру, рассчитанную на бодрствование, предпочтительнее личной машины.
Сочетайте эту дисциплину с уже используемыми схемами доставки артефактов: если сборки попадают через SFTP или rsync, хост шлюза не должен быть тем же хрупким ноутбуком, на котором идут видеозвонки и ночной сон. Колокация автоматизации на стабильном удалённом Mac отделяет человеческие привычки от прод-инцидентов.
Telegram молчит, консоль грузится?
Исследуйте слой моста, режим вебхука или long polling, историю ротации токена бота; перекрёстно проверьте JSON health на предмет плагинов каналов.
Doctor в порядке, но бывают 5xx?
Сопоставьте метки времени со страницами статуса провайдера, следите за давлением на память и убедитесь, что во время аварии не устроили лавину повторов.
Когда переносить шлюз на удалённый Mac?
Когда нужен круглосуточный сервис без сна, общий доступ команды и колокация с существующими macOS-сборками или синхронизацией.
Стоит ли открывать панель в публичный интернет?
Предпочтительны VPN или SSO; сочетайте жёсткие allowedOrigins и ограничение частоты запросов, чтобы «зелёный» doctor по-прежнему соответствовал модели угроз и ожиданиям аудиторов.
Изучите тарифы SFTPMAC, если нужен стабильный Mac для OpenClaw вместе с файловыми потоками.