核心用法
Watch Dog 是专为 OpenClaw 网关设计的后台自愈监控系统,作为守护进程持续运行:
- 健康检测:每15秒轮询
localhost:3117/health端点 - 自动恢复:连续3次失败后触发
openclaw gateway restart,最多尝试2次 - 告警通知:通过 Telegram Bot 实时推送状态变更与故障警报
- 安全审批:2次重启失败后需用户手动批准(
touch ~/.openclaw/watchdog/approve-reinstall)方可执行重装,防止误操作
技术实现
- 本地诊断:所有日志分析均在设备本地完成,零外部数据传输
- 凭证加密:Telegram Token 与 Chat ID 采用 AES-256 加密,绑定机器专属密钥
- 系统集成:macOS 以 LaunchAgent 运行,Linux 使用 systemd user 服务
- 隐私优先:诊断仅依赖本地模式匹配,不上传任何日志
显著优点
| 维度 | 优势 |
|------|------|
| **即时响应** | 15秒检测周期 + 自动重启,故障恢复时间(MTTR)大幅缩短 |
| **零数据外泄** | 诊断与日志处理完全本地,满足严格隐私合规场景 |
| **分级防护** | 自动重启 → 人工审批 → 纯通知,层层递进避免误伤 |
| **跨平台** | 原生支持 macOS 与 Linux,统一配置体验 |
| **加密存储** | 敏感凭证硬件级加密,即使物理访问也难以破解 |
潜在局限
- 依赖 Telegram:告警渠道单一,需用户有 Telegram 账号并配置 Bot
- 本地-only 诊断:复杂故障可能缺乏云端聚合分析能力
- 网关绑定:专为 OpenClaw 设计,通用性受限
- 用户干预延迟:严重故障需人工审批重装,极端场景下恢复速度受限
适合人群
- 运行 OpenClaw 网关的个人开发者或小型团队
- 对数据隐私敏感、拒绝云监控方案的用户
- 需要「无人值守 + 关键故障人工确认」平衡场景的管理员
常规风险
- Telegram Bot Token 泄露:若用户不慎泄露 Token,攻击者可伪造告警或获取网关状态信息
- 本地权限提升:守护进程以 user 服务运行,但若主机已遭入侵,加密密钥可能被内存提取
- 误判重启:健康端点短暂波动可能导致不必要的服务中断
- 审批文件竞态:
approve-reinstall文件机制在多用户场景下存在潜在竞态条件