LogClaw : SRE IA Open-Source pour la Création Automatique de Tickets à partir des Logs

LogClaw est une plateforme AI SRE open-source qui se déploie dans votre VPC et crée automatiquement des tickets d'incident à partir d'anomalies dans les journaux. Développé par Robel après sa frustration face aux alertes vagues d'outils comme Datadog, il se concentre sur la transformation du bruit des journaux en tickets actionnables sans intervention manuelle.

Comment ça marche

Le système ingère les journaux via OpenTelemetry et détecte les anomalies en utilisant un score composite basé sur les signaux plutôt qu'une simple alerte par seuil. Il extrait 8 types de signaux d'échec : OOM, plantages, épuisement des ressources, défaillances de dépendances, blocages de base de données, délais d'attente dépassés, erreurs de connexion et échecs d'authentification. Ceux-ci sont combinés avec une analyse statistique de score z, le rayon d'impact, la vélocité des erreurs et les signaux de récurrence pour former un score composite.

Les défaillances critiques (OOM, paniques) déclenchent une détection immédiate. Une fois qu'une anomalie est confirmée, un moteur de corrélation de traces à 5 couches regroupe les journaux par traceId, cartographie les dépendances de service, suit les cascades de propagation d'erreurs et calcule le rayon d'impact sur les services affectés.

L'Agent de Ticketing extrait ensuite la chronologie corrélée, l'envoie à un LLM pour l'analyse de la cause racine, et crée un ticket dédupliqué sur Jira, ServiceNow, PagerDuty, OpsGenie, Slack ou Zammad. La boucle complète, du bruit des journaux au ticket déposé, prend environ 90 secondes.

Architecture

LogClaw utilise cette architecture : Collecteur OTel → Kafka (Strimzi, mode KRaft) → Bridge (Python, 4 threads concurrents : ETL, détection d'anomalies, indexation OpenSearch, corrélation de traces) → OpenSearch + Agent de Ticketing.

La couche AI prend en charge OpenAI, Claude ou Ollama pour les déploiements totalement isolés. Tout se déploie avec un seul chart Helm par locataire, isolé par espace de noms sans plan de données partagé.

Limitations actuelles

• Les métriques et les traces ne sont pas encore prises en charge — c'est uniquement pour les journaux. La prise en charge des métriques est prévue.
• La détection d'anomalies est basée sur les signaux + statistiques (score composite avec score z), pas sur l'apprentissage profond. Elle détecte 99,8 % des défaillances critiques mais ne détecte pas encore les modèles de dérive de performance subtils.
• Le tableau de bord est fonctionnel mais basique. OpenSearch Dashboards est utilisé pour les tâches lourdes.

Déploiement et tarification

La plateforme est sous licence Apache 2.0. Une version cloud managée est disponible à 0,30 $/GB ingéré si vous ne souhaitez pas l'héberger vous-même. Selon la source, LogClaw peut permettre des économies de 80 à 90 % par rapport à Splunk/Datadog, avec un coût annuel d'observabilité de 38 000 $ contre 1,2 million de $ pour Splunk à 500GB/jour.

Pour le développement local, la documentation est disponible à https://docs.logclaw.ai/local-development.