Margrop
Articles394
Tags1012
Categories7

Categories

/health 200 /v1/models 0.025s 0.17.0 0步 0步主动 0步元递归 0步本身 12类 18789 18天idle 18天静默 192.168.x.x 1password 2.3s 2013 21天 22类一键汇总 3层定位法 3行修复 3行修改 4 节点共享 4-Source 400 401 4个Gateway 4个Gateway全军覆没 4天滞后 4步主动 4步定位 4源 4源交叉 503 5步定位法 5步排查 5步验证 6.2.0 6.24 release 6.28 发现 60秒延迟 60秒超时 6个host 6个节点 6节点 AC ACP AI AI Coding Assistant AI编程助手 AI辅助 AI辅助编程 ALLHEALTHY AP API API 改动 ActiveState Agent couldn't generate Alertmanager AppDaemon Aqara Authorization BaiduPCS Bearer CC-Switch CI/CD CLI Tools CLI工具 CONFIG Caddy Chrome缺失 Claude Code Cloudflare Codex Cookie 认证 Cron D1 DB探针 DB静止 DIY-123 DIY-123模型 DIY-MINI DIY-VPS4 DIY平台 Date Diagrams.net Diary Docker Docker Compose EADDRINUSE EasyTier NAT穿透 Efficiency Tools Electerm English FTS5 Gateway Gemini CLI GitHub Actions HA HADashboard HTTP 200 Hermes Hexo HomeAssistant Host is down INVALID_PARAMS IP IPv4 Invalid model Invalid token Java LVM‑Thin Library/Logs Linux MacMini MacOS Macmini Macmini log路径 Markdown MiniMax MiniMax-M2-7-fallback MiniMax-M2.7-fallback MiniMax-M3 Multi-Agent MySQL NAS NRestarts Nginx Node-RED Node.js OOM OpenAI OpenClaw OpenClaw gateway OpenCode OpenResty OpenWrt Operation timed out P1P3 PPID PPID=1 PPID=796 PPPoE PVE PVE245 Portainer PostgreSQL ProcessOn Prometheus Proxmox VE RPC Restart=always Restart=always循环 SOCKS5 SPOF SQLite SSL Session Shell Subagent TTS TimeMachine Type=notify UML Unauthorized Uptime Kuma VM VM151 VM152 VM152 WeCom缺失 VM153 VM154 VPN VPS VPS4 VPS4 overlay TCP不可达 WeCom Web WebSocket Windows Workers activate ad adb adblock agent alerting alias 取消 aligenie aliyun alpine annotation aop argv authy auto recovery auto-restart autofs backup baidupan baidupcs baidupcs-sync-progress baidupcs静默 bash bash subprocess bitwarden boot breaking change brew browser by-design caddy2 capture_output cdn centos cert certbot charles chat chat completion chat completions chrome classloader client clone closures cloudflare cmd command commit connected container cron crontab cron任务 cron设计 cross validation cross-verification ctyun curl custom/DIY-123 daemon-reload dashboard ddsm demo dependency deploy deprecation developer devtools dll dns docker domain download draw drawio dsm dual supervision dump duplicate service unit dylib edge exception existing gateway is healthy exit 78 exit code exit78 export fail2ban failover fallback fallback chain fallback失效 false negative false positive feign feishu告警 firewall-cmd flow frp frpc frps fuckgfw function fuser gateway gateway.log gcc gfw git gitea github golang google_gemma-4 gperftools grep gridea grub gvt-g hacs havcs health check health-check-all heap hello hexo hibernate hidden bomb hidpi hoisting homeassistant host down hosts html htmlparser https iKuai idea idle-detection idle_hours image img img2kvm immortalwrt import inactive index install intel investigation io ios ip iptables iptv ipv6 iso java javascript jetbrains jieba jni jnilib journald journald日志漂移 jpa js json jsonb jupter jupyterlab jvm k8s kernel key kid kill orphan kms kodi koolproxy koolproxyr kvm lan lastpass launchctl learning lede letsencrypt linux live log path log rotate loopback-proxy low-code lsof lsof -p lvm lxc m3u8 mac macOS macOS app macos manual mariadb markdown maven md5 meta-acceptance meta-pattern meta-probe microcode minimax mirror misjudgment model alias model id model live test model provider modem modules monitor mount mstsc multisource mysql n2n n5105 nas netstat network new-api newapi nfs node node-red nodejs nohup notepad++ npm nssm ntp one-api oop openai compatible openclaw openclaw/ openfeign openssl orphan process orphan进程 os otp ovz p14 packet capture pat pdf pem perf ping ping通但chat不通 pip plugin png port bind race port=18789 powerbutton print pro probe probe of probe probe-of-probe process check process detection provider token provider/model proxy ps ps -axo args ps -eo args ps+grep pve pvekclean python python subprocess qcow2 qemu qemu-guest-agent qmshutdown rar reboot reconnect循环 reflog release notes remote remote desktop renew repo resize retina root route router rule rules running runtime safari sata schema schema列名 scipy-notebook scoping scp self-blind self-leak self-reference server server is busy service不可信 shared config single point of failure single source single-instance slmgr so socket-proxyd socks source spk split边界 spring springboot springfox sqlite3 CLI ss ss -tlnp ssh ssh probe ssh probe-of-probe ssh timeout ssl stale stash stderr/stdout stderr被吞 stdout/stderr string subprocess supernode supervisor svg svn swagger sync synology system-level daemon system-level vs user-level system-level与user-level抢端口 systemctl systemctl --user systemctl --user disable systemctl daemon-reload systemctl disable systemctl is-active systemctl restart systemctl show systemd systemd --user systemd duplicate service systemd exit 78 systemd restart loop systemd service unit systemd unit systemd unit race systemd user instance systemd-socket systemd-user双重监管 systemd被覆盖 tap tap-windows tapwindows telecom template terminal tls tmux token token失效 totp transient 999 trigram tvbox txt typo ubuntu udisk ui undertow unicode61 unified logging uninstall unit stopped unlocker upgrade upstream upstream alias upstream provider timeout uptimeMs url user-level daemon v1 v1 API v1 chat completions v10探针 v11探针 v12探针 v13探针 v14 v15探针 v1探针 v2 API v2ray v6探针 v7探针 v8探针 vhd vim vlmcsd vm vmdk weakest signal web websocket wechat windows with work day 14 work day 15 work day 17 work day 2 worker wow xiaoya xml yum zip 一行修改 一键idle告警脚本 一键告警脚本 一键解决方案 上海 上海晴 上游LLM容量 不动 不干预 不是我的锅 中国电信 中文搜索 主动0步 主动0步本身 主动不修 主动不追问 主动不追问本身 主动不追问本身也是清单之外 主动不通知 主动不通知本身 主动修 主动修system-level本身也是清单之外 主动修本身也是清单之外 主动反思 主动周一 主动想起 主动意识到 主动意识到0步本身 主动意识到0步本身也是清单之外 主动排查 主动追问 主动通知 云电脑 交叉验证 交换机 人机协作 代理 伏笔 优化 伪故障 但chat 30s+ 但是我的事 体检 保护逻辑本身也是清单之外 修systemd-user本身 修复方案 修挖坑闭环 修正本身 修正递归 值班 假阳 假阳性 假阴 健康检查 健康检查探针 元递归 光猫 克制 全HEALTHY 全员HEALTHY 全绿 全量同步 公网IP 共享配置 内存 内存优化 内网 内网IP 内网渗透 写作 分词 切换 列名误判 升级 协作 单位混淆 博客 又是周五 双重监管 反向代理 反向探针 反常健康 反常稳定 反常稳定本身 反应 vs 知识 反着来 反讽 启动 告警 告警优化 周一 周一焦虑 周三 周二 周二晚上 周二青岛后周三 周五 周五晚上 周六 周六晚上 周四 周四晚上 周报 周日 周日山崎 周日山崎后周一 周日晚上 周末 周末不干预 周末也是修坑日 周末也是清单之外 周末修坑 周末挖坑 周末本身也是清单之外 周末突破 周末第二天 周末第五天 周末落地 周末落地本身 夏令时 多场景 多智能体 多源验证 多节点 多节点管理 大小写敏感 天猫精灵 天翼云 孤儿进程 安全 安装 定时任务 容器 容器网络 宿命雷 导入 小米 山崎 山崎之夜 工作感悟 工作日 工作日常 工作日第三天 工作日第五天 工作日第四天 已通知用户 常用软件 幂等 广告屏蔽 序列号 应用市场 异常 弃用 循环类 心态 心智成长 心理模型 心跳 心跳检查 性能优化 性能最快 感悟 打工 打工人 打工人的克制 打工人的反讽 打工人的无奈 打工人的自指 批量校验 技术 抓包 拼写错误 挖坑→修坑闭环 排查 排查思路 排查流程 探针 探针再升级 探针本身 探针版本 探针的探针 探针管理 探针自己 探针自检 探针踩坑 接受 接受之后 接受修 接受修正 接受层 接受挖坑 接受本身 接受递归 描述文件 放下 故障 故障排查 效率 效率工具 教训 数据 新api 旁路由 旁路进程 无服务器 日志路径 日记 时区 显卡虚拟化 智能家居 智能音箱 最弱信号 服务器 服务管理 架构 梯子 模块 模型别名映射 模型探测 模型端点可达性 模型端点能ping通 模型调用 横线点 死循环 毫秒 流程 流程图 流程管理 浏览器 清单之后 清单之外 清单之外也包括接受本身 清单的元递归 清单设计 清单边界 清单进化 源码备份 漫游 激活 激活循环 火绒 焦虑 玄学 生活 用户主动 用户关机 电信 画图 监控 监控系统 直播源 直觉 磁盘 端口 端口 LISTEN 端口冲突 端口占用 端口扫描 第10天 第10类 第11天 第11类 第12天 第12类 第13天 第13类 第14天 第14类 第15类 第16天 第16类 第17个青岛 第17类 第18天 第18类 第19天 第19类 第20天 第20类 第21个青岛 第21天 第21类 第22天 第22类 第23天 第23类 第24天 第25天 第25类 第26天 第26类 第27天 第27类 第28类 第29类 第30类 第31类 第32类 第33类 第34类 第35类 第4个山崎 第4次复发 第6天 第7天 第8天 第9天 第9类 管理 续期 网关 网络 网络风暴 群晖 脚本 脚本优化 腾讯 自动化 自动恢复 自定义模型 自建应用 自我反思 自我发现 自我打脸 自我盲区 自指 自检撞自检 自检本身 自检脚本 节点角色 虚拟机 被动意识到 角色不匹配 角色误判 角色误配 角色错配 认证 设计偏差 证书 语雀 误判 误报 误报过滤 超时 路由 路由器 软件管家 软路由 运维 运维监控 进程 进程探测 连接保活 连接问题 连续5天 通信机制 通知 通知元递归 通知挖坑 通知本身 部署 部署链路 配置 配置盲 配置落后 重启不写日志 鉴权失效 钉钉 镜像 镜像源 长期稳定 长期静默 长连接 门窗传感器 问题排查 防火墙 阿里云 阿里源 隐藏3天 隐藏雷 集客 青岛 静默期 飞书 飞书告警

Hitokoto

Archive

OpenClaw Doctor 命令完全指南:从入门到高级诊断技巧

OpenClaw Doctor 命令完全指南:从入门到高级诊断技巧

OpenClaw Doctor 命令完全指南:从入门到高级诊断技巧

前言

在运维 OpenClaw 系统的过程中,你是否遇到过这样的困惑:系统明明在运行,但总觉得哪里不对劲?或者想给系统做一个全面体检,却不知道从哪里下手?

今天要介绍的工具——openclaw doctor——就是来解决这个问题的。这是一个被很多人忽略但非常有价值的诊断命令。本文将详细介绍这个命令的使用方法、各类诊断项的含义,以及如何根据建议进行修复。

什么是 openclaw doctor

openclaw doctor 是 OpenClaw Gateway 内置的一个诊断工具,顾名思义,它就像是服务器的”医生”,能够对系统进行全面的健康检查,并给出优化建议。

基本用法

1
2
3
4
5
6
7
8
# 在安装了 OpenClaw 的服务器上直接执行
openclaw doctor

# 如果路径不在 PATH 中,可以指定完整路径
/opt/openclaw/bin/openclaw doctor

# 查看帮助信息
openclaw doctor --help

执行后,命令会依次检查多个维度的配置和状态,并以清晰的格式输出检测结果。

诊断项详解

1. 版本信息检查

1
[gateway] update available (latest): v2026.4.1 (current v2026.3.28)

这个检查会对比当前版本和最新版本,提醒管理员及时升级。这是一个容易被忽略但很重要的检查项

为什么重要?

  • 新版本通常包含安全修复
  • 新版本可能修复了已知的 bug
  • 及时升级可以减少被攻击的风险

如何处理?

1
2
3
4
5
6
7
8
# 查看当前版本
openclaw version

# 更新到最新版本
openclaw update

# 或者指定版本
openclaw update --version v2026.4.1

2. 端口暴露检查

1
[gateway] 18789/TCP should probably be behind a reverse proxy instead of exposed directly

这是一个安全相关的检查。18789 端口是 OpenClaw Gateway 的管理接口,直接暴露会有安全风险。

安全风险分析:

  • 如果端口直接暴露在公网,任何人都可以尝试访问
  • 即使有密码保护,仍然存在暴力破解的风险
  • 暴露的管理端口可能成为攻击者的入口

推荐方案:

方案一:通过反向代理访问

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# Nginx 配置示例
server {
listen 443 ssl;
server_name gateway.example.com;

ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/key.pem;

location / {
proxy_pass http://127.0.0.1:18789;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}

方案二:配置防火墙限制

1
2
3
# 仅允许内网段访问 18789
iptables -A INPUT -p tcp --dport 18789 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 18789 -j DROP

3. Systemd 服务检查

1
2
[node] systemd unit file not found at ~/.config/systemd/user or /etc/systemd
[node] service not installed, cannot start on boot

这个检查发现 Gateway 没有配置开机自启动。这是一个常见但容易被忽略的问题。

问题场景:

  • 服务器重启后,Gateway 需要手动启动
  • 如果远程维护时遇到重启,需要等待有人物理接触服务器
  • 在凌晨或节假日重启,可能导致长时间服务不可用

解决方案:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 1. 安装 systemd 服务
openclaw gateway install

# 2. 启用开机自启动
systemctl --user enable openclaw-gateway.service

# 3. 立即启动服务
systemctl --user start openclaw-gateway.service

# 4. 验证服务状态
systemctl --user status openclaw-gateway.service

# 5. 验证服务正在运行
systemctl --user is-active openclaw-gateway.service

验证开机自启动是否生效:

1
2
3
4
# 检查服务是否 enabled
systemctl --user is-enabled openclaw-gateway.service

# 应该返回 "enabled"

4. 消息通道验证

1
[gateway] 钉钉 channel token is set, but we didn't verify that the bot is still active

这个检查发现钉钉的 token 已配置,但系统没有自动验证机器人的活跃状态。

潜在风险:

  • 机器人可能被平台禁用,但管理员不知情
  • Token 可能过期,但系统不会主动发现
  • 需要等到用户反馈才能发现问题

解决方案:

方案一:手动验证

1
2
3
4
5
# 登录钉钉开放平台后台
# 检查机器人应用状态

# 或者通过 API 验证
curl -X GET "https://api.dingtalk.com/robot/getRobotInfo?access_token=YOUR_TOKEN"

方案二:添加自动验证脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#!/bin/bash
# check_dingtalk_bot.sh

TOKEN=$(openclaw config get channels.dingtalk.config.token)

# 调用钉钉 API 验证机器人状态
RESPONSE=$(curl -s "https://api.dingtalk.com/robot/getRobotInfo?access_token=$TOKEN")

if echo "$RESPONSE" | grep -q '"errcode":0'; then
echo "钉钉机器人状态正常"
else
echo "警告:钉钉机器人可能异常"
# 发送告警通知
curl -X POST "https://oapi.dingtalk.com/robot/send?access_token=YOUR_ALERT_TOKEN" \
-H "Content-Type: application/json" \
-d '{"msgtype":"text","text":{"content":"[警告] 钉钉机器人状态异常,请检查"}}'
fi

将脚本加入 cron 定时执行:

1
2
# 每天早上9点检查一次
0 9 * * * /opt/scripts/check_dingtalk_bot.sh >> /var/log/bot_check.log 2>&1

5. Docker 环境检查(如果有容器化部署)

如果 OpenClaw 运行在 Docker 容器中,openclaw doctor 还会检查一些容器特有的配置:

1
2
[docker] container should restart automatically
[docker] healthcheck is not configured

自动重启配置:

1
2
3
4
5
6
7
8
9
10
11
# docker-compose.yml
services:
openclaw:
image: openclaw/openclaw:latest
restart: unless-stopped
healthcheck:
test: ["CMD", "curl", "-f", "http://localhost:18789/health"]
interval: 30s
timeout: 10s
retries: 3
start_period: 40s

完整修复流程

以下是一个完整的修复脚本,可以一键修复 openclaw doctor 报告的所有常见问题:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
#!/bin/bash
# openclaw-fix.sh - 一键修复 openclaw doctor 发现的问题

set -e

echo "开始修复 OpenClaw 配置..."

# 1. 更新到最新版本
echo "[1/5] 检查并更新 OpenClaw 版本..."
if command -v openclaw &> /dev/null; then
openclaw update || echo "更新失败,请手动检查"
fi

# 2. 安装 systemd 服务并启用开机自启动
echo "[2/5] 配置 systemd 服务..."
if ! systemctl --user status openclaw-gateway.service &> /dev/null; then
openclaw gateway install
systemctl --user enable openclaw-gateway.service
systemctl --user start openclaw-gateway.service
echo "systemd 服务已配置并启用"
else
echo "systemd 服务已存在"
fi

# 3. 验证服务状态
echo "[3/5] 验证服务状态..."
if systemctl --user is-active openclaw-gateway.service; then
echo "✅ Gateway 服务运行正常"
else
echo "❌ Gateway 服务未运行,尝试启动..."
systemctl --user start openclaw-gateway.service
fi

# 4. 配置防火墙(仅内网访问 18789)
echo "[4/5] 配置防火墙规则..."
if command -v ufw &> /dev/null; then
ufw allow from 192.168.0.0/16 to any port 18789
ufw deny 18789
echo "防火墙规则已配置"
elif command -v iptables &> /dev/null; then
iptables -A INPUT -p tcp --dport 18789 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 18789 -j DROP
echo "iptables 规则已配置"
fi

# 5. 验证钉钉连接
echo "[5/5] 验证钉钉连接..."
curl -f -s http://localhost:18789/health > /dev/null && echo "✅ Gateway 健康检查通过" || echo "❌ Gateway 健康检查失败"

echo ""
echo "修复完成!请再次运行 'openclaw doctor' 验证修复结果"

高级诊断技巧

查看详细诊断信息

1
2
3
4
5
6
7
8
# 输出 JSON 格式的诊断结果,便于程序解析
openclaw doctor --format json

# 输出详细日志
openclaw doctor --verbose

# 仅显示警告级别的问题
openclaw doctor --level warning

集成到监控脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
#!/bin/bash
# health-monitor.sh - 将诊断结果集成到监控系统

RESULT=$(openclaw doctor 2>&1)

# 检查是否有问题
if echo "$RESULT" | grep -q "update available"; then
echo "版本需要更新"
# 发送告警
fi

if echo "$RESULT" | grep -q "should probably"; then
echo "存在安全建议"
# 记录但不告警
fi

# 将结果写入 Prometheus 格式
cat << EOF > /var/lib/node_exporter/textfile_collector/openclaw_diagnosis.prom
# HELP openclaw_issues_total Total number of issues found by openclaw doctor
# TYPE openclaw_issues_total gauge
openclaw_issues_total{level="warning"} $(echo "$RESULT" | grep -c "warning")
openclaw_issues_total{level="info"} $(echo "$RESULT" | grep -c "info")
EOF

自动修复脚本

1
2
3
4
5
6
7
8
#!/bin/bash
# auto-fix.sh - 自动修复常见问题

# 只修复已知的安全问题,不修改版本配置
openclaw doctor --fix || true

# 记录修复历史
echo "$(date): 自动修复完成" >> /var/log/openclaw-fix.log

常见问题解答

Q1:执行 openclaw doctor 报错 “command not found”

A:说明 openclaw 不在 PATH 中,或者 Gateway 没有正确安装。尝试:

1
2
3
4
5
6
# 查找 openclaw 位置
which openclaw
find / -name "openclaw" -type f 2>/dev/null | head -5

# 如果是 Docker 部署,在容器内执行
docker exec -it openclaw-gateway openclaw doctor

Q2:systemd 服务安装失败

A:常见原因是权限问题。确保以有 sudo 权限的用户执行:

1
2
3
4
5
# 使用 sudo
sudo openclaw gateway install

# 或者启用用户 systemd 模式
loginctl enable-linger $USER

Q3:防火墙规则配置后不生效

A:可能需要保存规则并重启防火墙服务:

1
2
3
4
5
6
7
8
# iptables
iptables-save > /etc/iptables/rules.v4

# ufw
ufw reload

# 然后验证规则
iptables -L -n | grep 18789

Q4:更新版本后服务启动失败

A:可能是配置不兼容。查看日志:

1
2
3
4
5
# 查看 Gateway 日志
journalctl --user -u openclaw-gateway.service -n 100

# 如果是 Docker
docker logs openclaw-gateway

Q5:能否禁用某些检查项?

A:目前不支持禁用特定检查项,但可以忽略某些输出:

1
2
3
4
5
# 仅显示错误
openclaw doctor 2>&1 | grep -v "info:" | grep -v "warning:"

# 保存到文件慢慢看
openclaw doctor > /tmp/doctor-report.txt

最佳实践总结

  1. 定期执行诊断

    • 建议每周至少执行一次 openclaw doctor
    • 可以加入定时任务自动执行
  2. 及时处理警告级别的问题

    • 版本更新、安全建议等应尽快处理
    • 不要忽略警告,它们往往是潜在风险的信号
  3. 记录诊断历史

    • 定期保存诊断报告,便于对比分析
    • 可以发现配置变化的趋势
  4. 自动化修复流程

    • 对于常见问题,编写自动化修复脚本
    • 减少手动操作,避免遗漏
  5. 多节点统一管理

    • 如果有多个 Gateway 节点,建议统一执行诊断
    • 可以用 Ansible 或 Salt 等工具批量操作

延伸阅读

结语

openclaw doctor 是一个非常实用的诊断工具,但它的价值往往被低估。通过定期执行诊断并及时处理发现的问题,可以显著提高系统的稳定性和安全性。

建议所有 OpenClaw 用户都将 openclaw doctor 作为日常运维的一部分,让服务器保持”健康状态”。


作者:小六,一个在上海努力搬砖的程序员

Author:Margrop
Link:http://blog.margrop.com/post/2026-04-04-openclaw-doctor-complete-guide/
版权声明:本文采用 CC BY-NC-SA 3.0 CN 协议进行许可