Où les scripts de hook doivent-ils écrire les événements d’audit ?

Privilégiez des JSON Lines append-only dans un répertoire de journaux dédié avec rotation à 250 Mo ou quotidienne, acheminées vers votre SIEM. Évitez les chemins modifiables par tout le monde.

Les hooks remplacent-ils les fichiers d’espace de travail OpenClaw comme SOUL.md ?

Non—les hooks observent l’exécution ; les fichiers d’espace de travail façonnent le comportement. Utilisez les deux : texte de politique dans SOUL.md/MEMORY.md plus hooks pour une télémétrie difficile à altérer.

Les hooks peuvent-ils s’exécuter sous launchd sur macOS ?

Oui lorsque la passerelle OpenClaw ou le LaunchAgent wrapper définit explicitement WorkingDirectory et les variables d’environnement ; testez la gestion de SIGTERM avant la production.

IA & Automatisation 28 mars 2026

Hooks CLI OpenClaw et journalisation d’audit prête pour la conformité sur Mac cloud en 2026

MacLogin Équipe Automatisation IA 28 mars 2026 ~13 min de lecture

Les ingénieurs plateforme qui exécutent OpenClaw sur Apple Silicon loué ont besoin de plus que stdout lorsque les auditeurs demandent « que l’agent a-t-il fait, quand et avec quels identifiants ? » Le système de hooks CLI d’OpenClaw comble cet écart en exécutant de petits scripts autour des événements de cycle de vie—message entrant, sortie d’outil, lancement de sous-agent—afin d’émettre des JSON Lines structurés sans forker le runtime principal. Ce guide 2026 explique pourquoi les hooks complètent les fichiers workspace, comment noter les motifs de hooks selon le risque, un déploiement en neuf étapes calibré pour les hôtes MacLogin à Hong Kong, au Japon, en Corée, à Singapour et aux États-Unis, les modes d’échec observés en production, et l’alignement avec la gestion des secrets décrite dans notre article déploiement OpenClaw et gestion des secrets. Pour un catalogue plus large d’articles d’automatisation, commencez par l’index du blog.

Nous relions aussi les hooks à l’automatisation élargie : si vous orchestrez des builds, lisez OpenClaw et Xcode iOS CI pour les variables d’environnement propres aux pipelines, et gardez l’aide MacLogin à portée de main pour que SSH/VNC reste stable pendant que les hooks appendent des journaux. Mesurez séparément la latence des hooks réseau-dépendants : beaucoup d’incidents « agent gelé » viennent d’un script qui attend un endpoint interne sans deadline.

Prérequis : installez Node.js 22 LTS ou plus récent sur le Mac cloud, exécutez openclaw doctor et prévoyez au moins 16 Go de mémoire unifiée si vous attendez un fan-out fréquent de sous-agents.

Pourquoi les hooks surpassent la seule journalisation console pour les agents réglementés

Les journaux console sont peu fiables : ils entremêlent des services sans lien, tournent de façon imprévisible et incluent rarement des ID de corrélation stables entre workers. Les hooks s’exécutent à proximité des transitions d’état d’OpenClaw, ce qui permet d’émettre une ligne par événement avec sessionId, agentName et runId issus des variables de modèle documentées dans la référence des hooks CLI OpenClaw. Cette structure survit bien mieux à l’ingestion SIEM qu’un grep de texte non structuré.

Les hooks ne remplacent pas le texte de politique dans SOUL.md ou MEMORY.md ; ils observent le comportement que ces fichiers cherchent à orienter. Associez les deux : voir notre guide des fichiers workspace pour des frontières de contexte sûres en équipe. Ajoutez dans votre registre de changements la correspondance entre version des hooks et commit Git du dépôt de politique.

Surface des hooks CLI OpenClaw que vous activez réellement en production

En amont, OpenClaw continue d’élargir la couverture du cycle de vie—catégories courantes : pré/post message, démarrage et fin de sous-agent, frontières d’appel d’outil. Gérez-les via openclaw hooks list, openclaw hooks enable et openclaw hooks disable afin que l’astreinte puisse basculer l’observabilité sans redéployer les modules Node. Stockez les commandes de hook dans openclaw.json sous contrôle de version ; épinglez le fichier à côté de la racine workspace sur le Mac cloud.

Idempotence : les hooks doivent tolérer des invocations dupliquées lors des nouvelles tentatives.
Délais : gardez les scripts sous 2 secondes de temps CPU ; déportez le travail lourd vers des files asynchrones.
Secrets : n’imprimez jamais de jetons ; rédigez les variables d’environnement sauf drapeaux anodins.

Score des motifs de hooks : ce que vous livrez en premier

Notez les hooks proposés avant de les activer sur tout le parc. Les scores élevés signifient un retour audit plus rapide ; les scores faibles peuvent attendre.

Motif	Valeur audit (1–5)	Risque opérationnel (1–5, plus bas = plus sûr)	Livraison (semaine)
Liste de refus pré-appel d’outil pour des commandes type `rm -rf /`	5	2	1
Append JSONL post-message avec métadonnées utilisateur et canal	4	2	1
Compteurs de spawn de sous-agent (push Prometheus ou fichier)	3	3	2
Miroir complet des charges prompt/réponse	2	5	Jamais sans revue juridique

Déploiement en neuf étapes sur un Mac cloud MacLogin

Geler une image de référence : documenter la version mineure de macOS, Xcode si besoin, et le hachage du paquet OpenClaw.
Créer un volume de logs : monter ou allouer ≥ 50 Go de disque de travail pour les caches et les journaux de hooks rotatifs.
Initialiser le workspace : cloner le dépôt de politique ; placer les scripts sous ./hooks/ avec droits 755 et propriété par un utilisateur de service.
Câbler openclaw.json : référencer les chemins de hook en absolu pour éviter les erreurs WorkingDirectory launchd.
Essai à sec local : exécuter chaque script avec du JSON de test sur stdin ; exiger le code de sortie 0.
Activer sélectivement : allumer d’abord les motifs les mieux notés du tableau.
Configurer la rotation : plafonner chaque journal à 250 Mo ou rotation quotidienne—selon la première condition atteinte.
Forwarder SIEM : envoyer les JSONL via rsyslog ou synchro stockage objet ; conserver 90 jours en hot, plus long en froid si le contrat l’exige.
Jour J : tuer le processus passerelle et vérifier que les hooks ne bloquent pas le redémarrage (timeouts !).

Modes de défaillance observés sur Mac cloud toujours allumés

Scripts de hook bloqués : si un hook attend le réseau, l’agent peut sembler figé—imposez des délais curl. Erreurs de permission après reboot : les jobs launchd perdent parfois l’environnement ; injectez PATH et NODE_BINARY explicitement. Disque plein : le fan-out de sous-agents plus une journalisation verbeuse peut écrire 3 à 8 Go par semaine pour des équipes bavardes ; surveillez avec des alertes df -h.

Lorsque les hooks appellent des binaires externes, épinglez leurs chemins absolus dans openclaw.json pour éviter la dérive Homebrew entre fenêtres de maintenance. Après chaque montée de version mineure de macOS, relancez openclaw doctor et capturez stdout dans le même flux JSONL afin que les auditeurs corrélationnent changements de plateforme et deltas comportementaux. Les équipes qui sautent cette étape attribuent souvent à tort des pics de latence à Hong Kong ou Singapour à OpenClaw alors que la cause est un cache de linker dynamique obsolète. Traitez le stderr des hooks comme signal de première classe et alertez sur des sorties non nulles répétées.

Symptôme	Première commande	Sortie saine attendue
Hooks qui ne se déclenchent pas	`openclaw hooks list`	Indicateurs enabled true pour les événements visés
Plantages silencieux	`log show --predicate 'process == \"node\"' --last 15m`	Pas de traces de pile hook fatales répétées
Journaux partiels	`ls -lh ./logs/hooks`	Fichiers qui croissent, droits `640`

Sous-agents, secrets et pièges des fichiers workspace

Des retours de la communauté signalent des cas limites où les sous-agents démarrent depuis le workspace principal plutôt qu’un workspace agent isolé—si c’est votre build, les hooks doivent journaliser le répertoire de travail effectif au spawn pour détecter une fuite de secrets accidentelle entre locataires. Combinez cela avec des politiques git clean périodiques et des instances MacLogin distinctes par client lorsque les contrats exigent une isolation stricte.

Pour les automatisations entrantes, consultez les modèles de proxy inverse TLS pour webhooks afin que les hooks déclenchés par des événements HTTP ne voient jamais de jetons en clair sur disque.

Pourquoi les hôtes Mac mini M4 rendent l’instrumentation par hooks pratique

Les serveurs Mac mini M4 Apple Silicon offrent du métal déterministe sans la planification de voisins bruyants des VM sur-souscrites—utile lorsque les hooks doivent se déclencher à quelques millisecondes d’un appel d’outil. La mémoire unifiée maintient le tas Node et de petits expéditeurs de journaux Python résidents sans swap lorsque quatre sous-agents concurrents montent en charge pendant des tâches de recherche.

MacLogin propose ces nœuds à Hong Kong, au Japon, en Corée, à Singapour et aux États-Unis : placez les passerelles webhooks sensibles à la latence à Tokyo ou Singapour, et conservez les archives de conformité dans la juridiction préférée de vos juristes. Comparez les niveaux sur la page tarifs, branchez SSH selon les docs d’aide, et traitez les hooks comme partie de votre programme SRE agents—notre option décorative.

Louez du métal pour OpenClaw avec des journaux de hooks durables

Apple Silicon M4, cinq régions, SSH/VNC prêts pour les démons passerelle.

Voir les offres Aide au déploiement