<p><!--META { "title": "bash set -euo pipefailでスクリプトの安全性と堅牢性を向上させるDevOps実践", "primary_category": "DevOps", "secondary_categories": ["Linux","Scripting"], "tags": ["bash","set -euo pipefail","trap","systemd","jq","curl","mktemp","堅牢性"], "summary": "bashスクリプトの安全性と堅牢性を高めるためのDevOps実践として、set -euo pipefail、trap、tmpdir、jq、curl、systemd unit/timerの利用法を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"bashスクリプトの堅牢性向上に不可欠なset -euo pipefailの基本から、trap、mktemp、jq、curl、systemd活用までをDevOpsエンジニア向けに解説。安全な自動化を実現しましょう。#DevOps #bash #Scripting"}, "link_hints": ["https://curl.se/docs/manpage.html","https://github.com/stedolan/jq/releases/tag/jq-1.7.1","https://www.gnu.org/software/bash/manual/bash.html"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">bash set -euo pipefailでスクリプトの安全性と堅牢性を向上させるDevOps実践</h1> <p>DevOps環境における自動化スクリプトは、システムの安定稼働に不可欠です。しかし、bashスクリプトは意図しない動作やエラーで停止し、深刻な問題を引き起こす可能性があります。本記事では、<code>set -euo pipefail</code>をはじめとする堅牢なスクリプト設計原則を解説し、具体的な実装例を通じて安全な自動化スクリプトの実現を目指します。</p> <h2 class="wp-block-heading">要件と前提</h2> <h3 class="wp-block-heading">スクリプトの安全性と堅牢性</h3> <p>自動化スクリプトは、予期せぬ入力、外部サービスの障害、リソース不足など、様々な状況下でも安定して動作し、エラー発生時には適切に処理される必要があります。具体的には以下の要件を満たすことを目指します。</p> <ul class="wp-block-list"> <li><p><strong>早期エラー検出と停止（<code>set -e</code>, <code>set -u</code>, <code>set -o pipefail</code>）</strong>: 問題の拡大を防ぐため、エラーを検知したら即座に処理を中断する。</p></li> <li><p><strong>リソースのクリーンアップ（<code>trap</code>）</strong>: 処理の中断時でも、一時ファイルやディレクトリなどのリソースを確実に解放する。</p></li> <li><p><strong>一時リソースの安全な利用（<code>mktemp</code>）</strong>: 他のプロセスと衝突しない一時リソースを生成する。</p></li> <li><p><strong>べき等性</strong>: 何度実行しても同じ結果が得られる、またはシステムの状態が同じになることを保証する。</p></li> <li><p><strong>外部依存の堅牢な処理（<code>curl</code>, <code>jq</code>）</strong>: ネットワーク通信やJSON処理において、タイムアウト、リトライ、エラーハンドリングを考慮する。</p></li> <li><p><strong>自動実行と監視（<code>systemd</code>）</strong>: スクリプトを定期的に実行し、その状態とログを適切に管理する。</p></li> </ul> <h3 class="wp-block-heading">root権限の扱いと権限分離</h3> <p>スクリプトを設計する上で、root権限の利用は極力避け、必要最小限の権限で実行することがセキュリティの基本です。</p> <ul class="wp-block-list"> <li><p><strong>権限分離の原則</strong>: スクリプトがアクセスするファイルやディレクトリ、実行するコマンドは、そのタスクに必要な最低限の権限のみを持つユーザーで実行します。</p></li> <li><p><strong>sudoの最小限利用</strong>: やむを得ずroot権限が必要な場合は、<code>sudo</code>コマンドを用いて、特定のコマンドのみに限定して実行権限を付与します。安易な <code>sudo bash script.sh</code> は避けるべきです。</p></li> <li><p><strong>設定ファイルの保護</strong>: 機密情報を含む設定ファイル（APIキーなど）は、適切なパーミッション（例: <code>0600</code>）で保護し、限定されたユーザーのみが読み取れるようにします。</p></li> </ul> <h2 class="wp-block-heading">実装例：堅牢なデータ処理スクリプト</h2> <p>以下の例では、外部APIからJSONデータを取得し、処理するスクリプトを想定しています。</p> <h3 class="wp-block-heading">処理フロー図</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["スクリプト開始"] --> B{"環境設定と一時ディレクトリ作成"}; B -- |成功| --> C["APIデータ取得 (curl)"]; B -- |失敗| --> G["エラーとクリーンアップ"]; C -- |成功| --> D["データ処理 (jq)"]; C -- |失敗| --> G; D -- |成功| --> E["主要ロジック実行"]; D -- |失敗| --> G; E --> F["スクリプト正常終了"]; G --> H["リソース解放 (trap)"]; F --> H; H --> I["処理完了"]; </pre></div> <h3 class="wp-block-heading">スクリプトの全体像と主要要素</h3> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash # スクリプト名: process_data.sh # --- 1. 堅牢性設定 --- # -e: コマンドが失敗した場合、即座にスクリプトを終了する。 # -u: 未定義の変数を使用した場合、エラーとしてスクリプトを終了する。 # -o pipefail: パイプライン中の任意のコマンドが失敗した場合、パイプライン全体を失敗とみなす。 set -euo pipefail # --- 2. グローバル変数 --- readonly SCRIPT_NAME=$(basename "$0") readonly LOG_DIR="/var/log/${SCRIPT_NAME%.*}" # 例: /var/log/process_data readonly TMP_DIR_PREFIX="${SCRIPT_NAME%.*}_tmp." # 一時ディレクトリのプレフィックス TMP_WORK_DIR="" # 後でmktempで設定 # --- 3. クリーンアップ処理 (trap) --- # EXITシグナルで実行され、スクリプト終了時に一時ファイルを削除する。 # エラー時も正常終了時も実行されるため、リソースリークを防ぐ。 cleanup() { # -d: ディレクトリのみを削除。 # -f: エラーを無視して強制削除。 # -r: 再帰的に削除。 if [[ -n "$TMP_WORK_DIR" && -d "$TMP_WORK_DIR" ]]; then echo "$(date '+%Y-%m-%d %H:%M:%S') [INFO] Cleaning up temporary directory: $TMP_WORK_DIR" rm -rf "$TMP_WORK_DIR" fi } trap cleanup EXIT # EXITシグナルでcleanup関数を実行 # --- 4. ロギング関数 --- log_message() { local level="$1" local message="$2" echo "$(date '+%Y-%m-%d %H:%M:%S') [$level] $message" | tee -a "${LOG_DIR}/${SCRIPT_NAME%.*}.log" >&2 } # --- 5. メイン処理 --- main() { # ログディレクトリの作成 (冪等性) mkdir -p "$LOG_DIR" || { log_message "ERROR" "Failed to create log directory: $LOG_DIR"; exit 1; } log_message "INFO" "Script started." # 一時ディレクトリの作成 (mktemp) # -d: ディレクトリを作成。 # -t: 環境変数TMPDIRを使用。 TMP_WORK_DIR=$(mktemp -d -t "$TMP_DIR_PREFIX"XXXXXXXX) || { log_message "ERROR" "Failed to create temporary directory."; exit 1; } log_message "INFO" "Temporary working directory created: $TMP_WORK_DIR" # APIキーなどの機密情報を安全に読み込む (例: 環境変数や秘密管理サービスから) # export API_KEY="your_api_key_here" # 本番では直接スクリプトに書かない # API_KEY="${API_KEY:-}" # 環境変数がない場合のエラーハンドリング # if [[ -z "$API_KEY" ]]; then # log_message "ERROR" "API_KEY is not set." # exit 1 # fi # --- 6. curlとjqを利用したAPIデータ取得と処理 --- local API_ENDPOINT="https://api.example.com/data" local OUTPUT_FILE="$TMP_WORK_DIR/api_response.json" log_message "INFO" "Fetching data from API: $API_ENDPOINT" # curl: TLS/再試行/バックオフを考慮 # --fail-with-body: HTTPエラー時に0以外の終了コードを返す（エラーボディは表示） # --retry 5: 最大5回リトライ # --retry-delay 3: リトライ間隔は3秒 # --retry-max-time 30: リトライ合計時間は最大30秒 # --connect-timeout 5: 接続タイムアウト5秒 # --max-time 10: 最大転送時間10秒 # --cacert /etc/ssl/certs/ca-certificates.crt: システムのCA証明書を利用したTLS検証 (Linux標準) # --silent --show-error: エラー時のみエラーメッセージを表示 if ! curl --fail-with-body \ --retry 5 --retry-delay 3 --retry-max-time 30 \ --connect-timeout 5 --max-time 10 \ --cacert /etc/ssl/certs/ca-certificates.crt \ --silent --show-error \ -X GET "${API_ENDPOINT}" \ -o "$OUTPUT_FILE"; then log_message "ERROR" "Failed to fetch data from API: $API_ENDPOINT" exit 1 fi log_message "INFO" "API data fetched and saved to $OUTPUT_FILE" # jq: JSONパースとエラー処理 # .data[] | select(.status == "active"): .data配列からstatusがactiveの要素を抽出 # -e: フィルター結果が空の場合、終了コード1を返す # -r: 生の文字列を出力 if ! jq -e '.data[] | select(.status == "active") | .id' "$OUTPUT_FILE" > "$TMP_WORK_DIR/processed_ids.txt"; then if [[ $(jq '.data | length' "$OUTPUT_FILE") -eq 0 ]]; then log_message "WARN" "No data found in API response. JSON file might be empty or malformed." else log_message "ERROR" "Failed to process JSON data with jq. JSON might be malformed or no active items found." exit 1 fi fi log_message "INFO" "Processed IDs saved to $TMP_WORK_DIR/processed_ids.txt" # --- 7. 主要ロジックの実行 (べき等性を考慮) --- # ここに取得したデータを使った具体的な処理を記述 # 例: データベース更新、別サービスへの通知など # べき等性: 処理が複数回実行されても、システムの最終状態が同じになるように設計する。 # 例: データベースにupsert（挿入または更新）操作を用いる、トランザクションを利用する、 # 処理済みのIDを記録し重複実行を避ける、など。 log_message "INFO" "Simulating main processing logic with processed IDs." while IFS= read -r id; do log_message "INFO" "Processing ID: $id" # 実際に何か処理を行うコマンド # process_record "$id" # 例 done < "$TMP_WORK_DIR/processed_ids.txt" log_message "INFO" "Script finished successfully." } # スクリプト実行 main "$@" </pre> </div> <p><strong>コードの前提・計算量・メモリ条件:</strong></p> <ul class="wp-block-list"> <li><p><strong>入力</strong>: 外部APIエンドポイントからのJSONデータ。</p></li> <li><p><strong>出力</strong>: ログファイル (<code>/var/log/process_data/process_data.log</code>)、処理されたIDのリスト (<code>$TMP_WORK_DIR/processed_ids.txt</code>)。</p></li> <li><p><strong>前提</strong>: <code>bash</code>, <code>curl</code>, <code>jq</code>, <code>mktemp</code> コマンドが利用可能であること。インターネット接続が必要。ログディレクトリは存在しない場合は作成される。</p></li> <li><p><strong>計算量</strong>: API呼び出しはネットワークIOに依存。<code>jq</code>処理はJSONデータのサイズに比例する。大規模なJSONデータの場合、メモリ消費量と処理時間が増加する可能性がある。</p></li> <li><p><strong>メモリ条件</strong>: <code>curl</code>と<code>jq</code>は、処理するJSONデータのサイズに応じてメモリを消費する。特に<code>jq</code>は大量のデータを一度に読み込むため、巨大なJSONファイルでは注意が必要。</p></li> </ul> <h3 class="wp-block-heading">べき等な処理の考慮</h3> <p>上記のスクリプトでは、主要ロジック部分でべき等性を考慮する必要があります。</p> <ul class="wp-block-list"> <li><p><strong>更新処理</strong>: データベースへの書き込みでは、<code>INSERT OR UPDATE</code>（UPSERT）のような操作を利用して、同じデータが複数回送信されても重複して挿入されたり、不整合を起こしたりしないようにします。</p></li> <li><p><strong>IDのトラッキング</strong>: 処理済みのアイテムのIDを永続的なストレージ（データベース、ファイルシステムなど）に記録し、スクリプト実行前に既に処理済みであるかを確認する仕組みを導入します。</p></li> <li><p><strong>外部システムへの通知</strong>: Webhookやメッセージキューへの発行を行う場合、メッセージにユニークなIDを含め、受信側で重複排除できるように設計します。</p></li> </ul> <h2 class="wp-block-heading">検証</h2> <p>スクリプトの堅牢性を確保するためには、様々なシナリオで検証を行うことが不可欠です。</p> <ol class="wp-block-list"> <li><p><strong>正常終了時の動作確認</strong>:</p> <ul> <li><p>スクリプトが最後まで実行され、期待通りの出力が得られることを確認します。</p></li> <li><p><code>TMP_WORK_DIR</code> が <code>trap cleanup EXIT</code> によって正しく削除されていることを確認します。</p></li> <li><p>ログファイルが正しく出力されていることを確認します。</p></li> </ul></li> <li><p><strong>APIエラー時の動作確認</strong>:</p> <ul> <li><p>APIが5xx（サーバーエラー）や4xx（クライアントエラー）を返した場合、<code>curl</code>が0以外の終了コードを返し、スクリプトが中断することを確認します。</p></li> <li><p>リトライ機構が正しく動作し、最終的にスクリプトが終了することを確認します。</p></li> <li><p>エラーメッセージがログに出力され、<code>TMP_WORK_DIR</code>が削除されることを確認します。</p></li> </ul></li> <li><p><strong>JSONパースエラー時の動作確認</strong>:</p> <ul> <li><p>APIが不正なJSONを返した場合や、<code>jq</code>のフィルター条件に合致するデータがない場合、<code>jq</code>が0以外の終了コードを返し、スクリプトが中断することを確認します。</p></li> <li><p>エラーメッセージがログに出力され、<code>TMP_WORK_DIR</code>が削除されることを確認します。</p></li> </ul></li> <li><p><strong>一時ファイル作成失敗時の動作確認</strong>:</p> <ul> <li><code>mktemp</code>が何らかの理由で失敗した場合（例: ディスク容量不足）、スクリプトが中断することを確認します。</li> </ul></li> <li><p><strong>べき等性テスト</strong>:</p> <ul> <li>スクリプトを連続して複数回実行し、システムの状態が初回実行後と変わらないことを確認します。例えば、データベースのエントリが重複していないか、通知が二重に送信されていないかなど。</li> </ul></li> </ol> <h2 class="wp-block-heading">運用：systemdを用いた定期実行</h2> <p>上記のスクリプトを定期的に実行し、監視するためにsystemd unitとtimerを利用します。</p> <h3 class="wp-block-heading">Unitファイルの作成</h3> <p><code>/etc/systemd/system/process_data.service</code> (例: <code>/usr/local/bin/process_data.sh</code> を実行)</p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Process external data periodically Documentation=https://example.com/docs/process_data Requires=network-online.target # ネットワーク接続が確立されるのを待つ After=network-online.target [Service] # スクリプト実行ユーザーを限定し、rootでの実行を避ける User=data-processor Group=data-processor WorkingDirectory=/opt/process_data # スクリプト実行時のカレントディレクトリ ExecStart=/usr/local/bin/process_data.sh # スクリプトのフルパス Type=exec StandardOutput=journal # 標準出力をjournalctlに送信 StandardError=journal # 標準エラー出力をjournalctlに送信 Restart=on-failure # 失敗時にsystemdが自動的に再起動を試みる RestartSec=300 # 5分後に再起動を試みる # Environment="API_KEY=your_api_key" # 機密情報はSystemdのSecrets管理機能や別ファイルで管理推奨 # AmbientCapabilities=CAP_NET_RAW # 必要なパーミッションのみ付与 # PrivateTmp=true # サービス固有のプライベート一時ディレクトリを使用 </pre> </div> <ul class="wp-block-list"> <li><p><strong>User/Group</strong>: スクリプトを実行する専用のユーザーとグループを指定し、権限を最小限に抑えます。事前に <code>sudo useradd -r -s /sbin/nologin data-processor</code> などで作成してください。</p></li> <li><p><strong>ExecStart</strong>: 実行するスクリプトのフルパスを指定します。</p></li> <li><p><strong>Restart=on-failure</strong>: スクリプトがエラーで終了した場合、systemdが自動的に再実行を試みます。これにより、一時的な問題からの回復を支援します。</p></li> <li><p><strong>StandardOutput/Error=journal</strong>: ログはsystemd journalに集約され、<code>journalctl</code>で一元的に確認できます。</p></li> </ul> <h3 class="wp-block-heading">Timerファイルの作成</h3> <p><code>/etc/systemd/system/process_data.timer</code> (例: 毎日午前3時に実行)</p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Run process_data.service daily at 3 AM Requires=process_data.service # サービス本体に依存 [Timer] OnCalendar=daily # 毎日実行 AccuracySec=1h # 1時間程度のずれを許容 (システム負荷軽減) Persistent=true # タイマーが非アクティブな間に期限切れになった場合、次回起動時にすぐに実行 [Install] WantedBy=timers.target # タイマーが起動時に有効になるように </pre> </div> <ul class="wp-block-list"> <li><p><strong>OnCalendar=daily</strong>: 毎日実行します。<code>OnCalendar=*-*-* 03:00:00</code> のように特定の時刻を指定することも可能です。</p></li> <li><p><strong>Persistent=true</strong>: システム停止中に実行時刻が過ぎた場合、システム起動後にすぐに実行されます。</p></li> </ul> <h3 class="wp-block-heading">systemdへの登録と有効化</h3> <div class="codehilite"> <pre data-enlighter-language="generic"># スクリプトを /usr/local/bin に配置 sudo cp process_data.sh /usr/local/bin/ sudo chmod +x /usr/local/bin/process_data.sh # systemdユニットファイルを配置 sudo cp process_data.service /etc/systemd/system/ sudo cp process_data.timer /etc/systemd/system/ # systemd設定をリロード sudo systemctl daemon-reload # タイマーを有効化して起動 sudo systemctl enable process_data.timer sudo systemctl start process_data.timer # サービスが次回タイマー実行時に起動するよう有効化（直接起動はしない） sudo systemctl enable process_data.service </pre> </div> <h3 class="wp-block-heading">ログ確認と監視</h3> <p>実行結果やエラーは <code>journalctl</code> で確認できます。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># サービスのログを確認 journalctl -u process_data.service # タイマーのログを確認 journalctl -u process_data.timer # リアルタイムでログを追跡 journalctl -f -u process_data.service </pre> </div> <p>さらに、ZabbixやPrometheusなどの監視ツールと連携し、systemdのサービス状態やログ内の特定のエラーパターンを監視することで、問題発生時にアラートを発することができます。</p> <h2 class="wp-block-heading">トラブルシューティング</h2> <p>スクリプトが期待通りに動作しない場合、以下の方法でトラブルシューティングを行います。</p> <ol class="wp-block-list"> <li><p><strong>ログファイルの確認</strong>:</p> <ul> <li><p><code>log_message</code> 関数で出力されるアプリケーションログ (<code>/var/log/process_data/process_data.log</code>) を確認します。</p></li> <li><p><code>journalctl -u process_data.service</code> でsystemdのログを確認し、システムレベルのエラーや標準出力/エラーの情報を確認します。</p></li> </ul></li> <li><p><strong><code>set -x</code> デバッグ</strong>:</p> <ul> <li><p>スクリプトの先頭に <code>set -x</code> を追加すると、実行される各コマンドとその引数が標準エラー出力に表示されます。これにより、どのコマンドがどのような引数で実行され、どこで失敗しているかを詳細に追跡できます。</p></li> <li><p><code>set -x</code> はデバッグ時のみ利用し、本番環境では削除するか、環境変数で有効/無効を切り替えられるようにします。</p></li> </ul></li> <li><p><strong>systemdサービスの状態確認</strong>:</p> <ul> <li><p><code>sudo systemctl status process_data.service</code>: サービスが現在どのような状態にあるか（active, inactive, failedなど）を確認します。</p></li> <li><p><code>sudo systemctl is-enabled process_data.service</code>: サービスが起動時に有効になっているか確認します。</p></li> <li><p><code>sudo systemctl list-timers | grep process_data</code>: タイマーが正しく設定され、次の実行時刻が表示されているか確認します。</p></li> </ul></li> <li><p><strong>手動での実行</strong>:</p> <ul> <li>systemd経由ではなく、直接コマンドラインからスクリプトを実行 (<code>/usr/local/bin/process_data.sh</code>) し、発生するエラーを直接確認します。この際、<code>sudo -u data-processor /usr/local/bin/process_data.sh</code> のように、systemdサービスが実行するユーザーで実行して、権限の問題がないかを確認することも重要です。</li> </ul></li> </ol> <h2 class="wp-block-heading">まとめ</h2> <p>、<code>bash</code>スクリプトの安全性と堅牢性を向上させるためのDevOps実践として、<code>set -euo pipefail</code>の基本から、<code>trap</code>によるリソースクリーンアップ、<code>mktemp</code>による一時ディレクトリ管理、<code>curl</code>と<code>jq</code>を用いた堅牢な外部連携、そして<code>systemd</code>による自動実行と監視までを網羅的に解説しました。これらのプラクティスを適用することで、自動化スクリプトの信頼性を大幅に高め、DevOps環境における安定した運用を実現できます。常に最小権限の原則を忘れず、徹底した検証と監視を継続することが重要です。</p>

graph TD
    A["スクリプト開始"] --> B{"環境設定と一時ディレクトリ作成"};
    B -- |成功| --> C["APIデータ取得 (curl)"];
    B -- |失敗| --> G["エラーとクリーンアップ"];
    C -- |成功| --> D["データ処理 (jq)"];
    C -- |失敗| --> G;
    D -- |成功| --> E["主要ロジック実行"];
    D -- |失敗| --> G;
    E --> F["スクリプト正常終了"];
    G --> H["リソース解放 (trap)"];
    F --> H;
    H --> I["処理完了"];

#!/bin/bash


# スクリプト名: process_data.sh

# --- 1. 堅牢性設定 ---


# -e: コマンドが失敗した場合、即座にスクリプトを終了する。


# -u: 未定義の変数を使用した場合、エラーとしてスクリプトを終了する。


# -o pipefail: パイプライン中の任意のコマンドが失敗した場合、パイプライン全体を失敗とみなす。

set -euo pipefail

# --- 2. グローバル変数 ---

readonly SCRIPT_NAME=$(basename "$0")
readonly LOG_DIR="/var/log/${SCRIPT_NAME%.*}" # 例: /var/log/process_data
readonly TMP_DIR_PREFIX="${SCRIPT_NAME%.*}_tmp." # 一時ディレクトリのプレフィックス
TMP_WORK_DIR="" # 後でmktempで設定

# --- 3. クリーンアップ処理 (trap) ---


# EXITシグナルで実行され、スクリプト終了時に一時ファイルを削除する。


# エラー時も正常終了時も実行されるため、リソースリークを防ぐ。

cleanup() {

    # -d: ディレクトリのみを削除。


    # -f: エラーを無視して強制削除。


    # -r: 再帰的に削除。

    if [[ -n "$TMP_WORK_DIR" && -d "$TMP_WORK_DIR" ]]; then
        echo "$(date '+%Y-%m-%d %H:%M:%S') [INFO] Cleaning up temporary directory: $TMP_WORK_DIR"
        rm -rf "$TMP_WORK_DIR"
    fi
}
trap cleanup EXIT # EXITシグナルでcleanup関数を実行

# --- 4. ロギング関数 ---

log_message() {
    local level="$1"
    local message="$2"
    echo "$(date '+%Y-%m-%d %H:%M:%S') [$level] $message" | tee -a "${LOG_DIR}/${SCRIPT_NAME%.*}.log" >&2
}

# --- 5. メイン処理 ---

main() {

    # ログディレクトリの作成 (冪等性)

    mkdir -p "$LOG_DIR" || { log_message "ERROR" "Failed to create log directory: $LOG_DIR"; exit 1; }
    log_message "INFO" "Script started."

    # 一時ディレクトリの作成 (mktemp)


    # -d: ディレクトリを作成。


    # -t: 環境変数TMPDIRを使用。

    TMP_WORK_DIR=$(mktemp -d -t "$TMP_DIR_PREFIX"XXXXXXXX) || { log_message "ERROR" "Failed to create temporary directory."; exit 1; }
    log_message "INFO" "Temporary working directory created: $TMP_WORK_DIR"

    # APIキーなどの機密情報を安全に読み込む (例: 環境変数や秘密管理サービスから)


    # export API_KEY="your_api_key_here" # 本番では直接スクリプトに書かない


    # API_KEY="${API_KEY:-}" # 環境変数がない場合のエラーハンドリング


    # if [[ -z "$API_KEY" ]]; then


    #    log_message "ERROR" "API_KEY is not set."


    #    exit 1


    # fi

    # --- 6. curlとjqを利用したAPIデータ取得と処理 ---

    local API_ENDPOINT="https://api.example.com/data"
    local OUTPUT_FILE="$TMP_WORK_DIR/api_response.json"

    log_message "INFO" "Fetching data from API: $API_ENDPOINT"

    # curl: TLS/再試行/バックオフを考慮


    # --fail-with-body: HTTPエラー時に0以外の終了コードを返す（エラーボディは表示）


    # --retry 5: 最大5回リトライ


    # --retry-delay 3: リトライ間隔は3秒


    # --retry-max-time 30: リトライ合計時間は最大30秒


    # --connect-timeout 5: 接続タイムアウト5秒


    # --max-time 10: 最大転送時間10秒


    # --cacert /etc/ssl/certs/ca-certificates.crt: システムのCA証明書を利用したTLS検証 (Linux標準)


    # --silent --show-error: エラー時のみエラーメッセージを表示

    if ! curl --fail-with-body \
              --retry 5 --retry-delay 3 --retry-max-time 30 \
              --connect-timeout 5 --max-time 10 \
              --cacert /etc/ssl/certs/ca-certificates.crt \
              --silent --show-error \
              -X GET "${API_ENDPOINT}" \
              -o "$OUTPUT_FILE"; then
        log_message "ERROR" "Failed to fetch data from API: $API_ENDPOINT"
        exit 1
    fi
    log_message "INFO" "API data fetched and saved to $OUTPUT_FILE"

    # jq: JSONパースとエラー処理


    # .data[] | select(.status == "active"): .data配列からstatusがactiveの要素を抽出


    # -e: フィルター結果が空の場合、終了コード1を返す


    # -r: 生の文字列を出力

    if ! jq -e '.data[] | select(.status == "active") | .id' "$OUTPUT_FILE" > "$TMP_WORK_DIR/processed_ids.txt"; then
        if [[ $(jq '.data | length' "$OUTPUT_FILE") -eq 0 ]]; then
            log_message "WARN" "No data found in API response. JSON file might be empty or malformed."
        else
            log_message "ERROR" "Failed to process JSON data with jq. JSON might be malformed or no active items found."
            exit 1
        fi
    fi
    log_message "INFO" "Processed IDs saved to $TMP_WORK_DIR/processed_ids.txt"

    # --- 7. 主要ロジックの実行 (べき等性を考慮) ---


    # ここに取得したデータを使った具体的な処理を記述


    # 例: データベース更新、別サービスへの通知など


    # べき等性: 処理が複数回実行されても、システムの最終状態が同じになるように設計する。


    # 例: データベースにupsert（挿入または更新）操作を用いる、トランザクションを利用する、


    # 処理済みのIDを記録し重複実行を避ける、など。

    log_message "INFO" "Simulating main processing logic with processed IDs."
    while IFS= read -r id; do
        log_message "INFO" "Processing ID: $id"

        # 実際に何か処理を行うコマンド


        # process_record "$id" # 例

    done < "$TMP_WORK_DIR/processed_ids.txt"

    log_message "INFO" "Script finished successfully."
}

# スクリプト実行

main "$@"

[Unit]
Description=Process external data periodically
Documentation=https://example.com/docs/process_data
Requires=network-online.target # ネットワーク接続が確立されるのを待つ
After=network-online.target

[Service]

# スクリプト実行ユーザーを限定し、rootでの実行を避ける

User=data-processor
Group=data-processor
WorkingDirectory=/opt/process_data # スクリプト実行時のカレントディレクトリ
ExecStart=/usr/local/bin/process_data.sh # スクリプトのフルパス
Type=exec
StandardOutput=journal # 標準出力をjournalctlに送信
StandardError=journal # 標準エラー出力をjournalctlに送信
Restart=on-failure # 失敗時にsystemdが自動的に再起動を試みる
RestartSec=300 # 5分後に再起動を試みる

# Environment="API_KEY=your_api_key" # 機密情報はSystemdのSecrets管理機能や別ファイルで管理推奨


# AmbientCapabilities=CAP_NET_RAW # 必要なパーミッションのみ付与


# PrivateTmp=true # サービス固有のプライベート一時ディレクトリを使用

[Unit]
Description=Run process_data.service daily at 3 AM
Requires=process_data.service # サービス本体に依存

[Timer]
OnCalendar=daily # 毎日実行
AccuracySec=1h   # 1時間程度のずれを許容 (システム負荷軽減)
Persistent=true  # タイマーが非アクティブな間に期限切れになった場合、次回起動時にすぐに実行

[Install]
WantedBy=timers.target # タイマーが起動時に有効になるように

# スクリプトを /usr/local/bin に配置

sudo cp process_data.sh /usr/local/bin/
sudo chmod +x /usr/local/bin/process_data.sh

# systemdユニットファイルを配置

sudo cp process_data.service /etc/systemd/system/
sudo cp process_data.timer /etc/systemd/system/

# systemd設定をリロード

sudo systemctl daemon-reload

# タイマーを有効化して起動

sudo systemctl enable process_data.timer
sudo systemctl start process_data.timer

# サービスが次回タイマー実行時に起動するよう有効化（直接起動はしない）

sudo systemctl enable process_data.service

# サービスのログを確認

journalctl -u process_data.service

# タイマーのログを確認

journalctl -u process_data.timer

# リアルタイムでログを追跡

journalctl -f -u process_data.service