Куда по умолчанию пишутся логи OpenClaw?

Зависит от установки: LaunchAgent часто перенаправляет в ~/Library/Logs или каталог из openclaw.json. Всегда читайте активный профиль.

Можно ли слать в syslog?

Да, если сборка поддерживает приёмник syslog; facility и severity должны совпадать с приёмом SOC. Сначала проверьте logger(1).

Какой запас диска для загруженных шлюзов?

Держите минимум ~20% свободного APFS; мост Slack с постоянным debug может писать несколько ГБ в неделю.

OpenClaw: логи 2026, редактирование PII, logrotate и диск облачного Mac

Загруженные шлюзы OpenClaw записывают в открытый текст API-ключи, идентификаторы Slack и сырые диалоги LLM. Ответ 2026 года — не «выключить логи», а структурированные приёмники, жёсткое редактирование (редaction) и нативная ротация macOS, чтобы арендованный Mac mini не заполнял диск в три часа ночи. Статья перечисляет пути, задаёт политику хранения, настраивает newsyslog или logrotate и сверяет приёмку с openclaw doctor. Дополнительно читайте диагностику шлюза, JSON-профили окружения и чеклист миграции при обновлении.

Инвентаризация путей логов

Начните с трёх мест: StandardOutPath/StandardErrorPath LaunchAgent, файловые приёмники в openclaw.json и временные перенаправления во время инцидентов. Таблица: ответственный, уровень хранения, нужны ли неизменяемые копии. На staging с постоянным debug — порядка 1–4 ГБ в неделю; в проде на INFO целитесь в 400–800 МБ прироста в неделю.

При отправке в удалённый агрегатор следите за исходящим трафиком: плотные LLM-трейсы в виде строк JSON со сжатием zstd часто дают около 55% экономии относительно простого текста.

Шаблоны редактирования

Тип данных	Шаблон	Действие
Bearer-токен	`Authorization: Bearer …`	Перед записью заменить на `[REDACTED_BEARER]`.
Почта	вид RFC5322	В тикетах — хэш или маскировка локальной части.
Телефон	E.164	В аудите можно оставить только код страны.
Вывод инструмента	Пути ФС	Убрать префикс домашнего каталога, снизить риск отпечатка.

После включения редактирования прогоните 10 синтетических промптов и сравните логи — утечки чаще в первых 200 строках подробных трасс инструментов.

Ротация в macOS

В macOS есть newsyslog; многие команды добавляют GNU logrotate через Homebrew для единообразия с Linux. Практика: ротация при 100 МБ или по суткам (что наступит раньше); на диске держать 14 поколений, сжатые архивы выгружать в объектное хранилище еженедельно.

# Пример строки newsyslog.conf (замените путь)
/path/to/openclaw.log  644  7  100  *  G

После правок выполните sudo newsyslog -v. LaunchDaemon для pre-rotate нужен редко — большинству шлюзов хватает стандартной схемы.

Бюджет диска и оповещения

Тревога, если свободно меньше 20% APFS; меньше 15% — эскалация на дежурного человека.
Резервные копии могут исключать шумные кэши (~/Library/Caches), но рост отслеживайте — профили браузерной автоматизации раздувались до 30 ГБ.
Перед TRACE сделайте снимок; если за ночь записано свыше 5 ГБ, немедленно откатите уровень.

На Apple Silicon давление на диск замедляет сжатие унифицированной памяти — задержки LLM растут без явных ошибок ввода-вывода.

Операционный ритм

Еженедельно: ls -lh для проверки числа ротированных файлов.
Ежемесячно: случайная выборка 500 строк и поиск rg по шаблонам токенов.
Ежеквартально: восстановить архив на песочничном Mac mini и повторить тесты редактирования.

При обновлениях сверяйтесь с чеклистом миграции, чтобы новая версия не добавила второй неконтролируемый путь логов.

Безопасность удалённой доставки

В Splunk или OpenSearch — TLS и закрепление сертификата, раздельные ключи staging/production. Ошибочный HEC-токен staging на прод-индекс потребовал 72 часа compliance-очистки.

Структурированный JSON проще парсить, но примерно на 20% объёмнее key=value; включайте gzip на линии, если агрегатор поддерживает.

Docker на Mac: тома логов с delegated; не крутите ротацию одновременно в контейнере и на хосте — несколько tail будут бороться за дескрипторы.

Сценарии сбоев

Первичный инцидент часто поднимает уровень до DEBUG. Политика: вернуть за 4 часа и назначить ответственного. В окне DEBUG используйте doctor, чтобы приложить здоровье каналов и логи к разбору.

Юридическое сохранение: при требовании заморозить логи — сразу остановить ротацию/удаление и снять снимок тома; копирование только каталога логов может потерять расширенные атрибуты.

Производительность: синхронный сброс может добавлять 15–40 мс на вызов инструмента; пакетируйте, если позволяет рантайм, но не откладывайте фатальные ошибки.

Многоканальность: каждая строка с корреляционным ID; 32-битный hex обычно достаточно. Дежурный сначала связывает stderr LaunchAgent и логи приложения по ID, затем открывает тикет вендора.

Часовые пояса: файлы в UTC, локаль только в просмотрщиках; смешение смещений при переходе на летнее время даёт двойной час в SLA-отчётах. Единый ISO-8601 с явным Z.

Права: каталоги логов только для пользователя шлюза и read-only SIEM; на мультитенантном mini избегайте world-readable chmod 644. ACL macOS для аудита без sudo; зафиксируйте рецепты chmod +a в runbook.

Ежеквартально тестируйте восстановление gzip-архивов: неверный пайп показал файлы > 2 ГБ только на учениях; дешевле воспроизвести на арендованном mini.

Грубая ёмкость: 3–6 строк на сообщение Slack, 12000 сообщений/сутки ⇒ INFO ~ 25 МБ/сут, DEBUG ~ 180 МБ/сут.

Шифрование at rest: FileVault не заменяет TLS; для внешних ревью шифруйте копии через age или GPG.

Дублирование наблюдаемости: одна и та же полезная нагрузка в локальный файл и stdout без дедупликации раздувала диск в 2,1 раза.

Дежурство: rg --line-buffered для ERROR; на высокой задержке осторожно с tail -f на многогигабайтных файлах.

Дочерние процессы наследуют дескрипторы; закрывайте лишние FD в обёртках — иначе место после ротации не освобождается до 36 часов.

Долг документации: каждая новая интеграция (Ollama, свой MCP) — раздел wiki с путями, правилами редактирования и примерами grep; онбординг < 90 минут.

Изменения порогов ротации фиксируйте в changelog для аудита.

Вопросы и ответы

Нужно ли логировать полные промпты LLM?

Только если политика разрешает; безопаснее — хэш ID и короткий TTL полного текста в ограниченном бакете.

Заменяет ли Time Machine политику хранения?

Нет как замена явной ретенции; в регулируемых отраслях нужно неизменяемое внешнее хранилище.

Диск полон — можно удалить логи?

Сначала самые старые ротированные файлы; не делайте rm -rf на активном логе, открытом шлюзом.

Mac mini на Apple Silicon даёт предсказуемую производительность APFS, низкое энергопотребление при постоянной работе шлюза и запас под пики логов. MacHTML сдаёт bare-metal с SSH/VNC, чтобы применить ротацию, проверить редактирование и снять снимок перед рискованным DEBUG — гибкая ёмкость Mac лучше ноутбука, который засыпает и теряет webhooks.

Запускайте OpenClaw со здоровой стратегией логов

Арендуйте Mac mini на Apple Silicon для staging шлюза, снимков диска и учений по логам без покупки железа.

Тарифы Помощь по удалённому доступу