2026 : OpenClaw sur Mac Mini loué — webhook Alertmanager : silences pour batch nocturne, escalade et backoff reproductibles

Public : équipes qui hébergent un Mac Mini loué 7×24 et veulent brancher Alertmanager sur OpenClaw sans saturer l’astreinte. Vous obtiendrez une matrice, des étapes reproductibles, des repères probes et backoff, et une FAQ (signature, doublons, matchers).

Liaison santé passerelle et logs launchd pour éviter le faux vert lorsque le proxy répond encore 200 OK. PagerDuty, Loki / Vector ; forfaits, aide, blog.

Trois freins lorsque Prometheus et le batch cohabitent

1. Clés de groupement trop larges. Fusionner plusieurs jobs sous une même alerte empêche une escalade fine et mélange incidents critiques et bruit de fond.
2. Silence trop court ou décalé. Si la fenêtre ne couvre pas la queue réelle du batch, repeat_interval continue d’injecter des notifications hors contexte.
3. Santé superficielle. Un reverse proxy peut répondre 200 alors qu’OpenClaw est deadlock : Alertmanager croit livrer alors que la charge s’accumule en retry.

Matrice : boucle locale, proxy instrumenté ou relais d’audit

Compromis latence, sécurité, observabilité — à figer dans le runbook.

Passerelle, health check et cohérence des timeouts

/healthz sur le même upstream que le webhook, probe 30–60 s. Si OpenClaw est bloqué, le proxy renvoie 502/503 pour déclencher les retry Alertmanager. Alignez timeout receiver et group_interval.

Chemins de journaux recommandés sur macOS loué

launchd : StandardOutPath / StandardErrorPath → p.ex. /usr/local/var/log/openclaw/openclaw.log ou ~/Library/Logs/OpenClaw/. Nginx : /usr/local/var/log/nginx/access.log et error.log pour corréler HTTP et RUN_ID.

Routes Prometheus : groupement, répétition et chaîne d’escalade

group_wait, group_interval, repeat_interval : stabiliser les flaps, espacer les lots, éviter le spam. Routes prod vs préprod ; resolved obligatoire pour fermer l’escalade.

Silences et fenêtre batch nocturne

Matchers sur job, instance, severity ; fin de silence après la queue batch. À la sortie, heartbeat ou vérif manuelle.

Backoff exponentiel et plafond côté OpenClaw

Backoff 200 ms → plafond ~60 s + jitter ; Retry-After sur 429/503. Une seule logique de retry par alerte pour préserver le CPU du Mini.

Liste d’étapes reproductibles

1. Installer le service OpenClaw via launchd, utilisateur non privilégié, écoute 127.0.0.1 ou socket UNIX derrière proxy.
2. Configurer receiver webhook dans alertmanager.yml, URL complète, send_resolved: true, timeouts cohérents avec le proxy.
3. Régler route, group_by, group_wait, group_interval, repeat_interval et branches d’escalade.
4. Publier matchers de silence alignés sur le calendrier batch ; vérifier fin de fenêtre et files résiduelles.
5. Activer health check partagé avec le trafic webhook ; journaliser stdout/stderr et accès reverse proxy.
6. Exécuter un dry-run diurne puis une nuit complète avec charge représentative et revue des journaux au lever du batch.

Repères citables

• Probe applicative toutes les 30–60 s ; absence de réponse saine = 502/503 côté edge.
• Backoff initial 200 ms, plafond ~60 s avec jitter pour étaler les tentatives.
• Matchers de silence conjonctifs : chaque paire doit correspondre exactement aux labels d’alerte émises par Prometheus.

FAQ — signature, répétitions, syntaxe des silences

Comment valider proprement la signature du webhook ?

Secret en en-tête, fichier 600 ; hors loopback : proxy, chemin aléatoire ou mTLS.

Pourquoi des alertes se répètent malgré un silence actif ?

Labels ≠ silence ; route dupliquée ; repeat_interval trop court — affinez group_by.

Quelle grammaire pour les matchers de silence ?

Matchers en ET, égalités strictes ; prolongez la fin pour la traîne ; évitez les silences trop larges.