<p><!--META { "title": "DevOpsにおけるログ解析：grep/sed/awk/jqとsystemdを活用した自動化術", "primary_category": "DevOps", "secondary_categories": ["Linux", "ログ管理", "Bashスクリプト"], "tags": ["grep", "sed", "awk", "jq", "systemd", "ログ解析", "Bash", "DevOps"], "summary": "DevOpsエンジニア向けに、grep/sed/awk/jqを用いたログ解析と、systemdによる自動化、安全なBashスクリプト作成法を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"DevOpsエンジニア必見！grep/sed/awk/jqによるログ解析自動化、systemd連携、安全なBashスクリプトの書き方を網羅。日々の運用効率を大幅向上させます。 #DevOps #ログ解析 #Linux","hashtags":["#DevOps","#ログ解析","#Linux"]}, "link_hints": [] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">DevOpsにおけるログ解析：grep/sed/awk/jqとsystemdを活用した自動化術</h1> <p>本稿では、DevOpsエンジニアが日々直面するログ解析タスクに対し、<code>grep</code>、<code>sed</code>、<code>awk</code>、<code>jq</code>といった標準ツール群と<code>systemd</code>を組み合わせた自動化手法、および安全なBashスクリプトの記述法を解説します。</p> <h2 class="wp-block-heading">要件と前提</h2> <p>システム運用において、ログはシステムの健全性、パフォーマンス、セキュリティを把握するための重要な情報源です。しかし、日々大量に生成されるログを手動で解析することは困難であり、効率的な自動化が求められます。本記事では、汎用的なテキストログ（例: Apacheアクセスログ）と構造化ログ（例: JSON形式のアプリケーションログ）を対象に、コマンドラインツールを用いたデータの抽出、加工、集計、そして<code>systemd</code>による定期実行とレポート送信の自動化について説明します。</p> <p>特に、ログファイルは機密情報を含む場合があるため、スクリプトの実行権限やファイルアクセス権限の分離、および<code>root</code>権限の適切な利用範囲に細心の注意を払うことが大切です。可能な限り非特権ユーザーで実行し、必要な最小限の権限のみを付与する「最小権限の原則」を遵守します。</p> <h2 class="wp-block-heading">実装</h2> <p>ログ解析スクリプトと<code>systemd</code>ユニットファイルの実装例を示します。</p> <h3 class="wp-block-heading">1. ログ解析スクリプト</h3> <p>以下のBashスクリプトは、一時ディレクトリを作成してサンプルログを生成し、<code>grep</code>, <code>sed</code>, <code>awk</code>, <code>jq</code>を用いて解析を行うものです。解析結果はモックの外部APIへ<code>curl</code>で送信することを想定しています。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/usr/bin/env bash # set -e: コマンドが失敗した場合、スクリプトを終了する # set -u: 未定義の変数を参照した場合、スクリプトを終了する # set -o pipefail: パイプライン中の任意のコマンドが失敗した場合、スクリプトを終了する set -euo pipefail # 一時ディレクトリの作成 # mktemp -d: 一意の名前を持つ一時ディレクトリを作成し、そのパスを出力する tmpdir="$(mktemp -d)" # trap: スクリプト終了時（EXIT）に一時ディレクトリを削除する trap 'rm -rf "$tmpdir"' EXIT log_file_prefix="log_analysis" access_log="${tmpdir}/${log_file_prefix}_access.log" json_log="${tmpdir}/${log_file_prefix}_app.log" analysis_output="${tmpdir}/${log_file_prefix}_report.json" echo "一時ディレクトリ: $tmpdir" echo "テストログファイルを生成しています..." # アクセスログ風のデータ生成 cat <<EOF > "$access_log" 192.168.1.100 - - [10/Oct/2023:10:00:01 +0900] "GET /api/status HTTP/1.1" 200 1234 "-" "Mozilla/5.0" 192.168.1.101 - - [10/Oct/2023:10:00:05 +0900] "POST /login HTTP/1.1" 401 56 "-" "curl/7.81.0" 192.168.1.100 - - [10/Oct/2023:10:00:10 +0900] "GET /index.html HTTP/1.1" 200 4567 "-" "Mozilla/5.0" 192.168.1.102 - - [10/Oct/2023:10:00:15 +0900] "GET /api/health HTTP/1.1" 500 120 "-" "Prometheus/2.39.1" 192.168.1.101 - - [10/Oct/2023:10:00:20 +0900] "GET /index.html HTTP/1.1" 200 4567 "-" "Mozilla/5.0" 192.168.1.103 - - [10/Oct/2023:10:00:25 +0900] "GET /dashboard HTTP/1.1" 200 8901 "-" "Internal Monitoring" EOF # JSONログ風のデータ生成 cat <<EOF > "$json_log" {"timestamp":"2023-10-10T10:00:01Z","level":"INFO","message":"User logged in","user_id":"user123","request_id":"req-001"} {"timestamp":"2023-10-10T10:00:05Z","level":"WARN","message":"Authentication failed","user_id":"guest","request_id":"req-002"} {"timestamp":"2023-10-10T10:00:10Z","level":"INFO","message":"Data fetched","user_id":"user123","request_id":"req-003"} {"timestamp":"2023-10-10T10:00:15Z","level":"ERROR","message":"Database connection failed","service":"db_svc","request_id":"req-004"} {"timestamp":"2023-10-10T10:00:20Z","level":"INFO","message":"User logged out","user_id":"user123","request_id":"req-005"} EOF echo "--- grepによる特定のGETリクエストの抽出 ---" grep 'GET /api/status' "$access_log" echo "--- sedによるIPアドレスの匿名化（末尾オクテットをXに置換） ---" sed -E 's/([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})\.[0-9]{1,3}/\1.X/g' "$access_log" echo "--- awkによるHTTPステータスコードごとのカウント ---" declare -A status_counts while IFS= read -r line; do status_code=$(echo "$line" | awk '{print $9}') status_counts["$status_code"]=$(( ${status_counts["$status_code"]:-0} + 1 )) done < "$access_log" # 連想配列の内容を出力（jqでJSON形式に変換） json_output="{" for status_code in "${!status_counts[@]}"; do json_output+=\"$status_code\":${status_counts["$status_code"]}," done json_output="${json_output%,}}" # 末尾のコンマを削除 echo "$json_output" | jq . > "$analysis_output" echo "集計結果を$analysis_outputに保存しました。" cat "$analysis_output" echo "--- jqによるJSONログからのERRORレベルメッセージ抽出 ---" jq -r 'select(.level == "ERROR") | .message' "$json_log" echo "--- curlによる解析結果の外部サービスへの送信 ---" # curlの安全性向上: # --fail-with-body: HTTP 4xx/5xx エラー時にエラーメッセージをボディとして表示し、失敗ステータスを返す # --retry: 接続失敗または転送エラー時にリトライする # --retry-delay: リトライ間の待ち時間（秒） # --retry-max-time: リトライ試行の合計最大時間（秒） # --cacert: サーバの証明書を検証するためのCA証明書バンドルを指定 (通常はシステムデフォルトだが明示) # --tlsv1.2: TLSv1.2 を強制（必要に応じて） # -sS: サイレントモード (-s) かつエラー表示 (-S) if curl -sS --fail-with-body \ --retry 5 --retry-delay 3 --retry-max-time 30 \ --cacert /etc/ssl/certs/ca-certificates.crt \ --tlsv1.2 \ -X POST -H "Content-Type: application/json" \ -d "$(cat "$analysis_output")" \ https://mock-api.example.com/metrics; then # モックAPIのURL echo "解析結果を外部サービスへ送信しました。" else echo "エラー: 解析結果の送信に失敗しました。詳細はログを確認してください。" exit 1 fi echo "ログ解析スクリプトの実行が完了しました。" </pre> </div> <p>このスクリプトは、<code>/opt/log-analyzer/analyze_and_report.sh</code> として保存することを想定します。</p> <h3 class="wp-block-heading">2. systemd Unit/Timer</h3> <p><code>systemd</code>を用いて、上記のスクリプトを定期的に実行するように設定します。</p> <h4 class="wp-block-heading">ユーザーとディレクトリの準備 (root権限で実行)</h4> <div class="codehilite"> <pre data-enlighter-language="generic">#!/usr/bin/env bash set -euo pipefail # ログ解析用の専用ユーザーとグループを作成 # -r: システムユーザーとして作成（ログインシェルなし、ホームディレクトリなし） # -s /sbin/nologin: ログインを許可しないシェル # -M: ホームディレクトリを作成しない if ! id -u loganalyzer >/dev/null 2>&1; then useradd -r -s /sbin/nologin -M loganalyzer echo "ユーザー 'loganalyzer' を作成しました。" fi # スクリプトを配置するディレクトリと権限設定 mkdir -p /opt/log-analyzer chown loganalyzer:loganalyzer /opt/log-analyzer chmod 700 /opt/log-analyzer # 解析結果を保存するディレクトリ（必要に応じて） mkdir -p /var/lib/log-analyzer chown loganalyzer:loganalyzer /var/lib/log-analyzer chmod 700 /var/lib/log-analyzer echo "権限分離のためのユーザーとディレクトリの準備が完了しました。" # スクリプトの配置（上記のanalyze_and_report.shをここにコピー） # cp analyze_and_report.sh /opt/log-analyzer/analyze_and_report.sh # chown loganalyzer:loganalyzer /opt/log-analyzer/analyze_and_report.sh # chmod 700 /opt/log-analyzer/analyze_and_report.sh </pre> </div> <p><strong>root権限の扱いと権限分離の注意点</strong>: 上記のように、<code>systemd</code>サービスが実行される専用のシステムユーザー（<code>loganalyzer</code>）を作成し、スクリプトや出力ディレクトリに対して最小限の読み書き権限のみを付与することが大切です。これにより、スクリプトに脆弱性があった場合でも、システム全体への影響を最小限に抑えることができます。<code>systemd</code>ユニットファイル内で<code>User=</code>と<code>Group=</code>ディレクティブを使用することで、<code>root</code>権限を持つ<code>systemd</code>が、指定された非特権ユーザーとしてプロセスを起動します。</p> <h4 class="wp-block-heading">Unitファイル (<code>/etc/systemd/system/log-analyzer.service</code>)</h4> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Daily Log Analysis and Reporting Service Documentation=https://example.com/log-analysis-doc After=network-online.target # ネットワークが利用可能になってから起動 [Service] Type=oneshot # 一度実行して終了するサービスタイプ User=loganalyzer # 実行ユーザーを指定 Group=loganalyzer # 実行グループを指定 WorkingDirectory=/opt/log-analyzer # スクリプト実行時のカレントディレクトリ ExecStart=/opt/log-analyzer/analyze_and_report.sh # 実行するスクリプト # セキュリティ強化オプション # ProtectSystem=full: /usr, /boot などを読み取り専用でマウント # ProtectHome=true: /home, /root をアクセス不可にする # PrivateTmp=true: サービス専用の一時ディレクトリを作成し、他のサービスから隔離 # NoNewPrivileges=true: プロセスが新たな権限（setuid/setgid）を取得することを禁止 # ReadOnlyPaths=/var/log/nginx: ログファイルを置くディレクトリなど、読み取り専用でアクセスを許可するパス # ReadWritePaths=/var/lib/log-analyzer: 解析結果や状態ファイルを置くディレクトリなど、読み書きを許可するパス # CapabilityBoundingSet=~CAP_SYS_ADMIN CAP_DAC_OVERRIDE: 特定のCapabilityを制限 (例: CAP_SYS_ADMIN, CAP_DAC_OVERRIDE を除去) # MemoryDenyWriteExecute=true: メモリ領域のW^X (Write XOR Execute) を強制 ProtectSystem=full ProtectHome=true PrivateTmp=true NoNewPrivileges=true ReadOnlyPaths=/var/log # 実際のログファイルのパスに合わせる ReadWritePaths=/var/lib/log-analyzer CapabilityBoundingSet=~CAP_SYS_ADMIN CAP_DAC_OVERRIDE CAP_CHOWN CAP_FSETID CAP_KILL CAP_SETGID CAP_SETUID CAP_NET_RAW CAP_NET_ADMIN AmbientCapabilities= # プロセスに付与するCapabilityを制限 [Install] WantedBy=multi-user.target </pre> </div> <h4 class="wp-block-heading">Timerファイル (<code>/etc/systemd/system/log-analyzer.timer</code>)</h4> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Run daily log analysis Requires=log-analyzer.service # このタイマーはサービスに依存 [Timer] OnCalendar=daily # 毎日実行 Persistent=true # サービス起動時に、前回の実行がスキップされた場合は即座に実行を試みる AccuracySec=1min # スケジュール実行の精度を1分以内に制限 # RandomizedDelaySec=600 # サービスの起動を最大600秒ランダムに遅延させ、一斉起動を防ぐ [Install] WantedBy=timers.target </pre> </div> <h3 class="wp-block-heading">3. フローチャート</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["systemd Timer<br>(log-analyzer.timer)"] --> |定期実行トリガー| B("systemd Service<br>(log-analyzer.service")) B --> |スクリプト実行| C{"Bashスクリプト<br>(analyze_and_report.sh)"} C --> |ログファイル読み込み| D["ログファイル<br>(/var/log/nginx/*, /var/log/app/*)"] C --> |grep/sed/awk/jqで解析| E["解析結果データ"] E --> |JSON形式で整形| F("中間JSONデータ") F --> |curlで送信(リトライ付き)| G("外部API/通知システム") C --> |標準出力/エラー出力| H["systemd Journal"] H --> |閲覧| I("運用担当者") </pre></div> <h2 class="wp-block-heading">検証</h2> <p><code>systemd</code>サービスとタイマーを有効化し、動作を確認します。</p> <ol class="wp-block-list"> <li><p><code>systemd</code>設定のリロード:</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl daemon-reload </pre> </div></li> <li><p>サービスとタイマーの有効化:</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl enable log-analyzer.timer </pre> </div></li> <li><p>タイマーの起動:</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl start log-analyzer.timer </pre> </div></li> <li><p>タイマーのステータス確認:</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl list-timers | grep log-analyzer </pre> </div> <p>実行予定時刻などが表示されます。</p></li> <li><p>手動でのサービス実行（検証目的）:</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl start log-analyzer.service </pre> </div></li> <li><p>サービス実行結果のログ確認:</p> <div class="codehilite"> <pre data-enlighter-language="generic">journalctl -u log-analyzer.service --no-pager </pre> </div> <p>スクリプトの標準出力やエラー出力が<code>journalctl</code>で確認できます。curlの送信成功/失敗メッセージ、解析結果などが表示されているか確認します。</p></li> </ol> <h2 class="wp-block-heading">運用</h2> <p>ログ解析システムを運用する上での考慮事項です。</p> <ul class="wp-block-list"> <li><strong>ログローテーションとの連携</strong>: <code>logrotate</code>などのツールと連携し、解析対象ログが適切にローテーションされ、古いログも必要に応じて解析対象となるよう設定します。スクリプトは新しいログファイルから情報を取得できるよう設計します。</li> <li><strong>監視とアラート</strong>: <code>systemd</code>サービスが失敗した場合、<code>systemd</code>は自動的にログに記録します。<code>journalctl</code>の監視や<code>Prometheus</code>などの監視ツールでサービスの状態を監視し、エラー発生時にアラートを発報する仕組みを構築します。</li> <li><strong>エラーハンドリングと通知</strong>: スクリプト内部で発生するエラーに対して、適切なエラーメッセージを出力し、通知システム（Slack, PagerDutyなど）へ連携する機能を実装します。</li> <li><strong>リソース管理</strong>: 大量のログを処理する場合、CPUやメモリを大量に消費する可能性があります。<code>systemd</code>ユニットファイルには<code>CPUShares</code>や<code>MemoryLimit</code>などのリソース制限を設定できます。</li> <li><strong>セキュリティ</strong>: ログファイルへのアクセス権限、スクリプトの配置場所、実行ユーザーの権限を常に最小限に保ちます。<code>systemd</code>ユニットのセキュリティ強化オプションを最大限に活用します。</li> </ul> <h2 class="wp-block-heading">トラブルシュート</h2> <p>ログ解析スクリプトや<code>systemd</code>サービスに問題が発生した場合の対処法です。</p> <ol class="wp-block-list"> <li><p><strong><code>journalctl</code>でのログ確認</strong>: サービス実行時の詳細なログは<code>journalctl</code>で確認できます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">journalctl -u log-analyzer.service -xe --no-pager </pre> </div> <p><code>-x</code>オプションで追加のコンテキスト情報、<code>-e</code>オプションで最新のエントリにジャンプします。</p></li> <li><p><strong>スクリプトのデバッグ</strong>: Bashスクリプトが期待通りに動作しない場合、<code>set -x</code>をスクリプトの先頭に追加して、実行されるコマンドとその引数を詳細にトレースできます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/usr/bin/env bash set -euo pipefail set -x # デバッグトレースを有効化 </pre> </div> <p>また、<code>tmpdir</code>に残された一時ファイルを確認して、中間データが正しく生成されているか確認します。</p></li> <li><p><strong>パーミッションの問題</strong>: <code>Permission denied</code>エラーが発生した場合、<code>loganalyzer</code>ユーザーがログファイルや作業ディレクトリに対して適切な読み書き権限を持っているか確認します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo -u loganalyzer ls -l /var/log/nginx sudo -u loganalyzer test -w /var/lib/log-analyzer && echo "Writeable" || echo "Not writeable" </pre> </div></li> <li><p><strong><code>systemd</code>設定ミス</strong>: <code>systemctl status log-analyzer.service</code>でサービスの状況を確認し、設定ファイルの構文エラーや、<code>ExecStart</code>パスの誤りがないか確認します。<code>daemon-reload</code>を忘れていないかも確認します。</p></li> <li><strong><code>curl</code>のネットワーク問題</strong>: <code>curl</code>が失敗する場合、宛先サーバーへのネットワーク接続性、DNS解決、TLS証明書の問題などが考えられます。<code>curl</code>コマンドに<code>-v</code>オプションを追加して詳細な通信ログを確認します。</li> </ol> <h2 class="wp-block-heading">まとめ</h2> <p>本記事では、DevOpsエンジニアがログ解析を効率化するための<code>grep</code>、<code>sed</code>、<code>awk</code>、<code>jq</code>の活用法と、<code>systemd</code>を用いた安全かつ堅牢な自動実行環境の構築について解説しました。安全なBashスクリプトの書き方、<code>systemd</code>のセキュリティ強化オプション、そして適切な権限分離を実践することで、システムの安定性とセキュリティを向上させつつ、日々の運用タスクを自動化できます。これらの技術を組み合わせることで、ログから迅速に価値ある情報を抽出し、プロアクティブなシステム運用に貢献することが可能です。</p>

#!/usr/bin/env bash
# set -e: コマンドが失敗した場合、スクリプトを終了する
# set -u: 未定義の変数を参照した場合、スクリプトを終了する
# set -o pipefail: パイプライン中の任意のコマンドが失敗した場合、スクリプトを終了する
set -euo pipefail

# 一時ディレクトリの作成
# mktemp -d: 一意の名前を持つ一時ディレクトリを作成し、そのパスを出力する
tmpdir="$(mktemp -d)"
# trap: スクリプト終了時（EXIT）に一時ディレクトリを削除する
trap 'rm -rf "$tmpdir"' EXIT

log_file_prefix="log_analysis"
access_log="${tmpdir}/${log_file_prefix}_access.log"
json_log="${tmpdir}/${log_file_prefix}_app.log"
analysis_output="${tmpdir}/${log_file_prefix}_report.json"

echo "一時ディレクトリ: $tmpdir"
echo "テストログファイルを生成しています..."

# アクセスログ風のデータ生成
cat <<EOF > "$access_log"
192.168.1.100 - - [10/Oct/2023:10:00:01 +0900] "GET /api/status HTTP/1.1" 200 1234 "-" "Mozilla/5.0"
192.168.1.101 - - [10/Oct/2023:10:00:05 +0900] "POST /login HTTP/1.1" 401 56 "-" "curl/7.81.0"
192.168.1.100 - - [10/Oct/2023:10:00:10 +0900] "GET /index.html HTTP/1.1" 200 4567 "-" "Mozilla/5.0"
192.168.1.102 - - [10/Oct/2023:10:00:15 +0900] "GET /api/health HTTP/1.1" 500 120 "-" "Prometheus/2.39.1"
192.168.1.101 - - [10/Oct/2023:10:00:20 +0900] "GET /index.html HTTP/1.1" 200 4567 "-" "Mozilla/5.0"
192.168.1.103 - - [10/Oct/2023:10:00:25 +0900] "GET /dashboard HTTP/1.1" 200 8901 "-" "Internal Monitoring"
EOF

# JSONログ風のデータ生成
cat <<EOF > "$json_log"
{"timestamp":"2023-10-10T10:00:01Z","level":"INFO","message":"User logged in","user_id":"user123","request_id":"req-001"}
{"timestamp":"2023-10-10T10:00:05Z","level":"WARN","message":"Authentication failed","user_id":"guest","request_id":"req-002"}
{"timestamp":"2023-10-10T10:00:10Z","level":"INFO","message":"Data fetched","user_id":"user123","request_id":"req-003"}
{"timestamp":"2023-10-10T10:00:15Z","level":"ERROR","message":"Database connection failed","service":"db_svc","request_id":"req-004"}
{"timestamp":"2023-10-10T10:00:20Z","level":"INFO","message":"User logged out","user_id":"user123","request_id":"req-005"}
EOF

echo "--- grepによる特定のGETリクエストの抽出 ---"
grep 'GET /api/status' "$access_log"

echo "--- sedによるIPアドレスの匿名化（末尾オクテットをXに置換） ---"
sed -E 's/([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})\.[0-9]{1,3}/\1.X/g' "$access_log"

echo "--- awkによるHTTPステータスコードごとのカウント ---"
declare -A status_counts
while IFS= read -r line; do
    status_code=$(echo "$line" | awk '{print $9}')
    status_counts["$status_code"]=$(( ${status_counts["$status_code"]:-0} + 1 ))
done < "$access_log"

# 連想配列の内容を出力（jqでJSON形式に変換）
json_output="{"
for status_code in "${!status_counts[@]}"; do
    json_output+=\"$status_code\":${status_counts["$status_code"]},"
done
json_output="${json_output%,}}" # 末尾のコンマを削除
echo "$json_output" | jq . > "$analysis_output"
echo "集計結果を$analysis_outputに保存しました。"
cat "$analysis_output"

echo "--- jqによるJSONログからのERRORレベルメッセージ抽出 ---"
jq -r 'select(.level == "ERROR") | .message' "$json_log"

echo "--- curlによる解析結果の外部サービスへの送信 ---"
# curlの安全性向上:
# --fail-with-body: HTTP 4xx/5xx エラー時にエラーメッセージをボディとして表示し、失敗ステータスを返す
# --retry: 接続失敗または転送エラー時にリトライする
# --retry-delay: リトライ間の待ち時間（秒）
# --retry-max-time: リトライ試行の合計最大時間（秒）
# --cacert: サーバの証明書を検証するためのCA証明書バンドルを指定 (通常はシステムデフォルトだが明示)
# --tlsv1.2: TLSv1.2 を強制（必要に応じて）
# -sS: サイレントモード (-s) かつエラー表示 (-S)
if curl -sS --fail-with-body \
          --retry 5 --retry-delay 3 --retry-max-time 30 \
          --cacert /etc/ssl/certs/ca-certificates.crt \
          --tlsv1.2 \
          -X POST -H "Content-Type: application/json" \
          -d "$(cat "$analysis_output")" \
          https://mock-api.example.com/metrics; then # モックAPIのURL
    echo "解析結果を外部サービスへ送信しました。"
else
    echo "エラー: 解析結果の送信に失敗しました。詳細はログを確認してください。"
    exit 1
fi

echo "ログ解析スクリプトの実行が完了しました。"

#!/usr/bin/env bash
set -euo pipefail

# ログ解析用の専用ユーザーとグループを作成
# -r: システムユーザーとして作成（ログインシェルなし、ホームディレクトリなし）
# -s /sbin/nologin: ログインを許可しないシェル
# -M: ホームディレクトリを作成しない
if ! id -u loganalyzer >/dev/null 2>&1; then
    useradd -r -s /sbin/nologin -M loganalyzer
    echo "ユーザー 'loganalyzer' を作成しました。"
fi

# スクリプトを配置するディレクトリと権限設定
mkdir -p /opt/log-analyzer
chown loganalyzer:loganalyzer /opt/log-analyzer
chmod 700 /opt/log-analyzer

# 解析結果を保存するディレクトリ（必要に応じて）
mkdir -p /var/lib/log-analyzer
chown loganalyzer:loganalyzer /var/lib/log-analyzer
chmod 700 /var/lib/log-analyzer

echo "権限分離のためのユーザーとディレクトリの準備が完了しました。"

# スクリプトの配置（上記のanalyze_and_report.shをここにコピー）
# cp analyze_and_report.sh /opt/log-analyzer/analyze_and_report.sh
# chown loganalyzer:loganalyzer /opt/log-analyzer/analyze_and_report.sh
# chmod 700 /opt/log-analyzer/analyze_and_report.sh

[Unit]
Description=Daily Log Analysis and Reporting Service
Documentation=https://example.com/log-analysis-doc
After=network-online.target # ネットワークが利用可能になってから起動

[Service]
Type=oneshot # 一度実行して終了するサービスタイプ
User=loganalyzer # 実行ユーザーを指定
Group=loganalyzer # 実行グループを指定
WorkingDirectory=/opt/log-analyzer # スクリプト実行時のカレントディレクトリ
ExecStart=/opt/log-analyzer/analyze_and_report.sh # 実行するスクリプト

# セキュリティ強化オプション
# ProtectSystem=full: /usr, /boot などを読み取り専用でマウント
# ProtectHome=true: /home, /root をアクセス不可にする
# PrivateTmp=true: サービス専用の一時ディレクトリを作成し、他のサービスから隔離
# NoNewPrivileges=true: プロセスが新たな権限（setuid/setgid）を取得することを禁止
# ReadOnlyPaths=/var/log/nginx: ログファイルを置くディレクトリなど、読み取り専用でアクセスを許可するパス
# ReadWritePaths=/var/lib/log-analyzer: 解析結果や状態ファイルを置くディレクトリなど、読み書きを許可するパス
# CapabilityBoundingSet=~CAP_SYS_ADMIN CAP_DAC_OVERRIDE: 特定のCapabilityを制限 (例: CAP_SYS_ADMIN, CAP_DAC_OVERRIDE を除去)
# MemoryDenyWriteExecute=true: メモリ領域のW^X (Write XOR Execute) を強制
ProtectSystem=full
ProtectHome=true
PrivateTmp=true
NoNewPrivileges=true
ReadOnlyPaths=/var/log # 実際のログファイルのパスに合わせる
ReadWritePaths=/var/lib/log-analyzer
CapabilityBoundingSet=~CAP_SYS_ADMIN CAP_DAC_OVERRIDE CAP_CHOWN CAP_FSETID CAP_KILL CAP_SETGID CAP_SETUID CAP_NET_RAW CAP_NET_ADMIN
AmbientCapabilities= # プロセスに付与するCapabilityを制限

[Install]
WantedBy=multi-user.target

[Unit]
Description=Run daily log analysis
Requires=log-analyzer.service # このタイマーはサービスに依存

[Timer]
OnCalendar=daily # 毎日実行
Persistent=true # サービス起動時に、前回の実行がスキップされた場合は即座に実行を試みる
AccuracySec=1min # スケジュール実行の精度を1分以内に制限
# RandomizedDelaySec=600 # サービスの起動を最大600秒ランダムに遅延させ、一斉起動を防ぐ

[Install]
WantedBy=timers.target

graph TD
    A["systemd Timer
(log-analyzer.timer)"] --> |定期実行トリガー| B("systemd Service
(log-analyzer.service"))
    B --> |スクリプト実行| C{"Bashスクリプト
(analyze_and_report.sh)"}
    C --> |ログファイル読み込み| D["ログファイル
(/var/log/nginx/*, /var/log/app/*)"]
    C --> |grep/sed/awk/jqで解析| E["解析結果データ"]
    E --> |JSON形式で整形| F("中間JSONデータ")
    F --> |curlで送信(リトライ付き)| G("外部API/通知システム")
    C --> |標準出力/エラー出力| H["systemd Journal"]
    H --> |閲覧| I("運用担当者")