Les passerelles OpenClaw saturées écrivent clés API, identifiants Slack et conversations LLM brutes en clair. La réponse 2026 n’est pas « couper les journaux », mais des récepteurs structurés, une rédaction agressive et une rotation native macOS pour éviter qu’un Mac mini loué ne remplisse le disque à trois heures du matin. Cet article recense les chemins, fixe la rétention, configure newsyslog ou logrotate et aligne la validation sur openclaw doctor. Pour les mises à jour et la config, lisez aussi diagnostic passerelle, profils JSON et hygiène et la checklist de migration.
Recenser les emplacements
Trois points d’entrée : StandardOutPath/StandardErrorPath du LaunchAgent, les récepteurs fichier déclarés dans openclaw.json, et les redirections temporaires pendant incidents. Tableau avec responsable, niveau de rétention et besoin de copies immuables. En staging avec debug permanent, comptez 1 à 4 Go par semaine ; en production en INFO, visez 400 à 800 Mo hebdomadaires.
Si vous expédiez vers un agrégateur distant, surveillez la sortie : les traces denses LLM en JSON lignes zstd réduisent souvent d’environ 55 % par rapport au texte brut.
Documentez aussi les volumes Docker montés hors du répertoire personnel : les sauvegardes qui n’incluent que ~/Library/Logs oublient parfois des bind-mounts sous /var, ce qui laisse des équipes sans traces critiques après un incident. Un Mac mini cloud loué pour deux jours permet de cloner le volume, de simuler une charge d’écriture et de vérifier que rotation et alertes se déclenchent sans toucher à la production.
Lorsque développement, staging et production partagent physiquement la même machine, séparez strictement les répertoires de logs par utilisateur Unix et par groupe ; évitez les permissions monde en écriture partagée. Un service qui écrase le journal d’un autre complique fortement l’analyse forensique et invalide les hypothèses de corrélation temporelle.
Modèles de rédaction
| Type de donnée | Motif | Action |
|---|---|---|
| Jeton Bearer | Authorization: Bearer … | Remplacer par [REDACTED_BEARER] avant écriture. |
| Forme RFC5322 | Hasher ou masquer la partie locale pour les tickets. | |
| Téléphone | E.164 | Mode audit : ne garder que l’indicatif pays. |
| Sortie d’outil | Chemins fichiers | Retirer le préfixe home pour limiter l’empreinte. |
Après activation, lancez dix prompts synthétiques et diff les journaux ; les fuites apparaissent souvent dans les 200 premières lignes des traces verbeuses.
Rotation sur macOS
macOS inclut newsyslog ; beaucoup d’équipes ajoutent GNU logrotate via Homebrew pour coller aux playbooks Linux. Stratégie pragmatique : 100 Mo ou rotation quotidienne (le premier événement gagne) ; conserver 14 générations locales et pousser les archives compressées chaque semaine vers l’objet.
# Exemple newsyslog.conf (adapter le chemin)
/path/to/openclaw.log 644 7 100 * GAprès modification, sudo newsyslog -v. N’ajoutez un LaunchDaemon de pré-rotation que si nécessaire ; la plupart des passerelles n’en ont pas besoin.
Budget disque et alertes
- Alerte APFS sous 20 % libre ; sous 15 %, escalade humaine.
- Les sauvegardes peuvent exclure les caches bruyants (
~/Library/Caches) mais surveillez leur croissance (profils navigateur jusqu’à 30 Go). - Avant TRACE, snapshot ; si une nuit dépasse 5 Go, revenez au niveau précédent immédiatement.
Sur Apple Silicon, la pression disque ralentit aussi la compression mémoire unifiée : la latence LLM monte sans erreur I/O évidente.
Rythme opérationnel
- Chaque semaine :
ls -lhpour compter les fichiers rotatés. - Chaque mois : échantillon aléatoire de 500 lignes, recherche
rgdes motifs de jetons. - Chaque trimestre : restaurer une archive sur un Mac mini bac à sable et rejouer les tests de rédaction.
Lors des upgrades, croisez avec la checklist de migration pour éviter un second chemin de logs inconnu.
Sécurité d’envoi distant
Vers Splunk ou OpenSearch : TLS et pinning, clés API staging/production séparées. Un jeton HEC de staging mal pointé vers l’index prod a imposé 72 heures de nettoyage conformité.
JSON structuré : environ 20 % plus volumineux que key=value ; gzip sur le fil si supporté.
Docker sur Mac : volumes logs en cohérence déléguée ; ne faites pas tourner deux rotations concurrentes hôte + conteneur.
Modes de panne
Incident primaire : niveau DEBUG. Politique : retour sous 4 heures avec responsable nommé. Pendant DEBUG, combinez doctor pour joindre santé des canaux et journaux au dossier post-mortem.
Préservation légale : sur gel, stoppez rotation/suppression et snapshottez le volume ; copier seulement le dossier peut perdre les attributs étendus.
Performance : flush synchrone peut ajouter 15 à 40 ms par appel d’outil ; batcher si possible sans retarder les erreurs fatales.
Multi-canal : ID de corrélation sur chaque ligne ; identifiant hex 32 bits suffit souvent. Astreinte relie stderr LaunchAgent et logs applicatifs avant ticket éditeur.
Fuseaux : stockage UTC, affichage local dans les viewers ; mélanger offsets autour de l’heure d’été double-compte les SLA. Standard ISO-8601 avec Z.
Droits : répertoires réservés au user passerelle + compte SIEM lecture seule ; évitez le monde lisible sur mini multi-locataires. ACL macOS pour audit sans sudo ; notez les recettes chmod +a.
Test trimestriel de restauration d’archives gzip : pipelines mal redirigés ont révélé des fichiers > 2 Go seulement en exercice ; un mini loué coûte moins cher pour reproduire.
Capacité indicative : 3 à 6 lignes par message Slack, 12 000 messages/jour ⇒ INFO ~ 25 Mo/j, DEBUG ~ 180 Mo/j.
Chiffrement au repos : FileVault ne remplace pas TLS ; pour revues externes, chiffrer les copies avec age ou GPG.
Double écriture locale + stdout sans dédup : nous avons vu 2,1× la taille disque.
Astreinte : rg --line-buffered sur ERROR ; prudence avec tail -f sur fichiers multi-Go à latence élevée.
Processus enfants héritent des descripteurs ; fermez les FD inutiles dans les wrappers sinon l’espace libéré après rotation reste invisible pendant 36 heures.
Dette doc : chaque intégration (Ollama, MCP perso) ajoute une section wiki (chemins, règles, greps) pour onboarding < 90 min.
Changements de seuils : tracer dans le changelog pour l’audit.
À moyen terme, exposez dans votre stack d’observabilité la longueur moyenne des lignes de journal et la proportion de champs rédigés. Sans ces indicateurs, une dérive de configuration — filtres désactivés par erreur, niveau DEBUG oublié — n’apparaît que lorsque le disque se remplit ou qu’un auditeur trouve des motifs sensibles.
Formez les nouveaux contributeurs à ne jamais insérer de données sensibles dans des traces de débogage « temporaires » qui finissent par être centralisées. Beaucoup de fuites naissent pendant un incident, pas dans les paramètres de production.
FAQ
Faut-il journaliser l’intégralité des prompts LLM ?
Seulement si la politique l’autorise ; plus sûr : hacher l’ID et placer le texte dans un compartiment à TTL court.
Time Machine remplace-t-elle une politique de rétention ?
Non pour les exigences explicites ; secteurs réglementés exigent du stockage immuable hors machine.
Disque plein : supprimer les logs ?
Commencer par les fichiers rotatés les plus anciens ; jamais rm -rf sur le fichier actif ouvert par la passerelle.
Le Mac mini Apple Silicon offre des performances APFS prévisibles, une veille peu gourmande et de la marge pour les pics de logs. MacHTML loue du bare-metal SSH/VNC pour appliquer rotation, valider la rédaction et snapshotter avant DEBUG risqué—mieux qu’un portable qui dort et perd les webhooks.
Faites tourner OpenClaw avec une stratégie de journaux saine
Louez un Mac mini Apple Silicon pour staging passerelle, snapshots disque et exercices logs sans acheter du matériel.