LogClaw：ログからの自動チケット作成のためのオープンソースAI SRE

LogClawは、VPC内にデプロイされ、ログの異常からインシデントチケットを自動生成するオープンソースのAI SREプラットフォームです。Datadogなどのツールからの曖昧なアラートに不満を感じたRobelによって開発され、手動介入なしでログノイズをアクショナブルなチケットに変換することに焦点を当てています。

仕組み

このシステムは、OpenTelemetry経由でログを取り込み、単純なしきい値アラートではなく、シグナルベースの複合スコアリングを使用して異常を検出します。OOM、クラッシュ、リソース枯渇、依存関係の障害、DBデッドロック、タイムアウト、接続エラー、認証障害の8種類の障害シグナルを抽出します。これらは、統計的zスコア分析、影響範囲、エラー速度、再発シグナルと組み合わされて複合スコアを形成します。

重大な障害（OOM、パニック）は即時検出をトリガーします。異常が確認されると、5層のトレース相関エンジンがtraceIdでログをグループ化し、サービス依存関係をマッピングし、エラー伝播の連鎖を追跡し、影響を受けるサービス全体の影響範囲を計算します。

その後、チケット作成エージェントが相関タイムラインを取得し、LLMに送信して根本原因分析を行い、Jira、ServiceNow、PagerDuty、OpsGenie、Slack、またはZammad上で重複排除されたチケットを作成します。ログノイズからチケット作成までの全ループは約90秒かかります。

アーキテクチャ

LogClawは次のアーキテクチャを使用します：OTelコレクター → Kafka（Strimzi、KRaftモード） → ブリッジ（Python、4つの同時スレッド：ETL、異常検出、OpenSearchインデックス作成、トレース相関） → OpenSearch + チケット作成エージェント。

AIレイヤーは、完全にエアギャップされたデプロイメント向けにOpenAI、Claude、またはOllamaをサポートしています。すべてがテナントごとに単一のHelmチャートでデプロイされ、名前空間で分離され、共有データプレーンはありません。

現在の制限事項

• メトリクスとトレースはまだサポートされていません — これはログのみ対応です。メトリクスサポートはロードマップにあります。
• 異常検出はシグナルベース＋統計的（zスコアによる複合スコアリング）であり、深層学習ではありません。重大な障害の99.8%を検出しますが、微妙なパフォーマンス低下パターンはまだ検出できません。
• ダッシュボードは機能的ですが基本的です。高度な処理にはOpenSearchダッシュボードが使用されます。

デプロイメントと価格

このプラットフォームはApache 2.0ライセンスの下で提供されています。セルフホストしたくない場合、管理対象クラウド版が取り込みGBあたり0.30ドルで利用可能です。Sourceによると、LogClawはSplunk/Datadogと比較して80-90%のコスト削減を実現でき、500GB/日の場合、Splunkの年間監視コスト120万ドルに対して3万8千ドルになります。

ローカル開発については、ドキュメントがhttps://docs.logclaw.ai/local-developmentで利用可能です。