LogClaw: Открытая платформа AI SRE для автоматического создания тикетов на основе логов

LogClaw — это платформа с открытым исходным кодом для SRE на базе ИИ, которая развертывается в вашей VPC и автоматически создает инцидент-тикеты на основе аномалий в логах. Разработанная Робелем после разочарования в нечетких алертах от инструментов вроде Datadog, она фокусируется на превращении шума в логах в полезные тикеты без ручного вмешательства.

Как это работает

Система принимает логи через OpenTelemetry и обнаруживает аномалии с помощью составного скоринга на основе сигналов, а не простого алертинга по порогам. Она извлекает 8 типов сигналов о сбоях: OOM, краши, исчерпание ресурсов, сбои зависимостей, взаимоблокировки БД, таймауты, ошибки соединения и сбои аутентификации. Они комбинируются со статистическим z-скор-анализом, радиусом поражения, скоростью ошибок и сигналами повторения в составной балл.

Критические сбои (OOM, паники) запускают немедленное обнаружение. Как только аномалия подтверждена, 5-уровневый движок корреляции трассировок группирует логи по traceId, отображает зависимости сервисов, отслеживает каскады распространения ошибок и вычисляет радиус поражения по затронутым сервисам.

Агент тикетов затем извлекает коррелированную временную шкалу, отправляет её в LLM для анализа первопричин и создает дедуплицированный тикет в Jira, ServiceNow, PagerDuty, OpsGenie, Slack или Zammad. Весь цикл от шума в логах до созданного тикета занимает около 90 секунд.

Архитектура

LogClaw использует следующую архитектуру: OTel Collector → Kafka (Strimzi, режим KRaft) → Bridge (Python, 4 параллельных потока: ETL, обнаружение аномалий, индексация в OpenSearch, корреляция трассировок) → OpenSearch + Ticketing Agent.

Слой ИИ поддерживает OpenAI, Claude или Ollama для полностью изолированных развертываний. Всё развертывается одним Helm-чартом на арендатора, изолированным по пространству имен без общего уровня данных.

Текущие ограничения

• Метрики и трассировки пока не поддерживаются — только логи. Поддержка метрик в планах.
• Обнаружение аномалий основано на сигналах + статистике (составной скоринг с z-скором), а не на глубоком обучении. Оно ловит 99,8% критических сбоев, но пока не обнаруживает тонкие паттерны дрейфа производительности.
• Дашборд функционален, но прост. OpenSearch Dashboards используются для тяжелой работы.

Развертывание и цены

Платформа лицензирована под Apache 2.0. Управляемая облачная версия доступна за $0.30/ГБ принятых данных, если вы не хотите самохостинг. По данным источника, LogClaw может обеспечить экономию в 80-90% по сравнению с Splunk/Datadog, с годовой стоимостью наблюдаемости в $38K против $1.2M для Splunk при 500ГБ/день.

Для локальной разработки документация доступна по адресу https://docs.logclaw.ai/local-development.