<p><!--META { "title": "jqコマンドによるJSONデータ変換とsystemdによる自動化", "primary_category": "DevOps", "secondary_categories": ["Linux", "Scripting"], "tags": ["jq", "curl", "systemd", "bash", "JSON", "DevOps", "idempotency", "shellscript"], "summary": "jqコマンドとcurlを用いたJSONデータ変換スクリプトをsystemdで安全に自動化するDevOpsプラクティスを解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"jqコマンドでJSON変換するBashスクリプトを、systemdで安全かつ冪等に自動実行するDevOpsプラクティス。curlでのAPI取得や、権限分離、トラブルシュートまで網羅します。 #DevOps #jq #systemd","hashtags":["#DevOps","#jq","#systemd"]}, "link_hints": ["https://jqlang.github.io/jq/manual/", "https://curl.se/docs/manpage.html", "https://www.freedesktop.org/software/systemd/man/systemd.unit.html"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">jqコマンドによるJSONデータ変換とsystemdによる自動化</h1> <p>DevOps環境におけるデータ連携では、APIからのJSON取得と整形が頻繁に発生します。本記事では、軽量で強力なJSONプロセッサである <code>jq</code> コマンドを活用し、<code>curl</code> による安全なAPIアクセス、そして <code>systemd</code> による定期的な自動実行を組み合わせる実践的なDevOpsプラクティスを紹介します。冪等性、セキュリティ、エラーハンドリングを考慮した堅牢なスクリプトとシステム設計について解説します。</p> <h2 class="wp-block-heading">要件と前提</h2> <h3 class="wp-block-heading">要件</h3> <ul class="wp-block-list"> <li><p>外部APIからJSONデータを取得し、特定のフィールドを抽出・整形する。</p></li> <li><p>整形したJSONデータをファイルに出力する。</p></li> <li><p>処理は定期的に自動実行されること。</p></li> <li><p>スクリプトは冪等であり、中断されても安全に再実行できること。</p></li> <li><p>セキュリティを考慮し、最小権限の原則を遵守すること。</p></li> <li><p>エラー発生時には適切なログが出力されること。</p></li> </ul> <h3 class="wp-block-heading">前提</h3> <ul class="wp-block-list"> <li><p>OS: CentOS Stream 9 / Ubuntu Server 22.04 LTS などのLinuxディストリビューション</p></li> <li><p>インストール済みのコマンド: <code>jq</code> (バージョン 1.7以降を推奨 [1]), <code>curl</code> (バージョン 7.x以降を推奨), <code>bash</code> (バージョン 4.x以降を推奨), <code>systemd</code></p></li> <li><p>システム時刻がJST（日本標準時）に設定されていること。</p></li> </ul> <h2 class="wp-block-heading">実装</h2> <h3 class="wp-block-heading">処理フローの概要</h3> <p>本記事で構築するJSONデータ変換と自動実行のプロセスは、以下のフローチャートで示されます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["開始: systemdタイマー"] --> B{"systemd Unitが起動"} B -- 起動 --> C("シェルスクリプト実行") C --> D("一時ディレクトリ作成 | & クリーンアップ設定") D --> E("curlで外部APIからJSON取得 | TLS検証, リトライ設定") E -- 成功 --> F("jqでJSONデータ変換 | フィルタリング, 整形") E -- 失敗 --> H("エラー処理 & ログ出力 | ステータスコード, エラーメッセージ") F -- 成功 --> G("変換済みデータをファイル出力 | 冪等なファイル名") F -- 失敗 --> H G --> I("終了: 一時ディレクトリ削除") H --> I </pre></div> <h3 class="wp-block-heading">安全なBashスクリプトの作成</h3> <p>JSONデータ変換を行うスクリプトは、一時ファイルの管理、エラーハンドリング、そして外部APIへの安全な接続が重要です。以下に、これらの要素を考慮したBashスクリプトの例を示します。</p> <h4 class="wp-block-heading">スクリプトの基本構造とセキュリティ対策</h4> <p>冪等性を確保し、エラー時にクリーンアップを行うために、<code>set -euo pipefail</code> と <code>trap</code> コマンド、そして <code>mktemp -d</code> による一時ディレクトリの利用は必須です [5]。</p> <ul class="wp-block-list"> <li><p><code>set -e</code>: コマンドが失敗した場合、即座にスクリプトを終了させます。</p></li> <li><p><code>set -u</code>: 未定義の変数を使用しようとするとエラーになります。</p></li> <li><p><code>set -o pipefail</code>: パイプライン中の任意のコマンドが失敗した場合、パイプライン全体が失敗したとみなされます。</p></li> <li><p><code>trap '...' EXIT</code>: スクリプトの終了時（正常終了、エラー終了問わず）に指定したコマンドを実行します。これにより一時ディレクトリの削除などを確実に実行できます。</p></li> </ul> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash # スクリプト名: process_json_data.sh # --- 1. スクリプトのセキュリティと堅牢性の設定 --- set -euo pipefail # スクリプト実行日時 (JST) - 出力ファイル名に使用 TIMESTAMP=$(date +%Y%m%d%H%M%S) LOG_FILE="/var/log/json_processor/process_json_data.log" # ログファイルパス API_URL="https://api.example.com/data" # 取得元APIのURL (仮) OUTPUT_DIR="/var/lib/json_processor/processed" # 変換済みJSON出力ディレクトリ # ログディレクトリと出力ディレクトリの作成 (冪等に) mkdir -p "$(dirname "${LOG_FILE}")" mkdir -p "${OUTPUT_DIR}" # --- 2. 一時ディレクトリの作成とクリーンアップ --- # mktemp -d で安全な一時ディレクトリを作成 # `trap` を用いて、スクリプト終了時に一時ディレクトリを確実に削除する TMP_DIR=$(mktemp -d -t json_proc_XXXXXX) if [[ ! -d "${TMP_DIR}" ]]; then echo "$(date +'%Y-%m-%d %H:%M:%S JST') [ERROR] Failed to create temporary directory. Exiting." | tee -a "${LOG_FILE}" exit 1 fi # スクリプト終了時に一時ディレクトリを削除 trap 'rm -rf "${TMP_DIR}"' EXIT echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] Script started. Temporary directory: ${TMP_DIR}" | tee -a "${LOG_FILE}" # --- 3. JSONデータの取得 (curlとTLS/再試行/バックオフ) --- # curl を用いて外部APIからJSONデータを取得 # -sS: サイレントモード (-s) かつエラーを表示 (-S) # --fail-with-body: HTTPエラーが発生した場合、レスポンスボディを表示して終了ステータス1を返す # --retry 5: 5回まで再試行 # --retry-connrefused: 接続拒否でも再試行 # --retry-max-time 30: 再試行を含めて最大30秒 # --connect-timeout 5: 接続確立のタイムアウトを5秒に設定 # --max-time 10: ファイル転送全体のタイムアウトを10秒に設定 # --cacert: サーバ証明書の検証に使用するCA証明書ファイルを指定 (セキュリティ強化のため推奨) # --tlsv1.2: TLSv1.2のみを使用 (最新のセキュリティ標準に準拠) API_RESPONSE_FILE="${TMP_DIR}/api_response.json" echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] Fetching JSON data from ${API_URL}..." | tee -a "${LOG_FILE}" if ! curl -sS \ --fail-with-body \ --retry 5 \ --retry-connrefused \ --retry-max-time 30 \ --connect-timeout 5 \ --max-time 10 \ --cacert /etc/pki/tls/certs/ca-bundle.crt \ --tlsv1.2 \ "${API_URL}" -o "${API_RESPONSE_FILE}"; then echo "$(date +'%Y-%m-%d %H:%M:%S JST') [ERROR] Failed to fetch data from API. See curl output above." | tee -a "${LOG_FILE}" exit 1 fi echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] JSON data fetched successfully." | tee -a "${LOG_FILE}" # --- 4. JSONデータの変換 (jqの活用例) --- # 取得したJSONデータをjqで処理 # 例: id, name, status, timestampを抽出し、新しいJSONオブジェクトとして整形 # timestampはISO 8601形式に変換し、JSTであることを明示 # jq 1.7以降では`--argfile`が利用可能です [1]。 PROCESSED_DATA_FILE="${OUTPUT_DIR}/processed_data_${TIMESTAMP}.json" echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] Processing JSON data with jq..." | tee -a "${LOG_FILE}" if ! jq -r '[.[] | { id: .id, name: .name, status: .status, updated_at: (.timestamp | strptime("%Y-%m-%dT%H:%M:%SZ") | localtime | strftime("%Y-%m-%dT%H:%M:%S%z")) }]' "${API_RESPONSE_FILE}" > "${PROCESSED_DATA_FILE}"; then echo "$(date +'%Y-%m-%d %H:%M:%S JST') [ERROR] Failed to process JSON data with jq." | tee -a "${LOG_FILE}" exit 1 fi echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] JSON data processed and saved to ${PROCESSED_DATA_FILE}" | tee -a "${LOG_FILE}" echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] Script finished successfully." | tee -a "${LOG_FILE}" exit 0 </pre> </div> <ul class="wp-block-list"> <li><p><strong>入出力</strong>: APIからJSONを入力し、<code>jq</code> で整形後、新しいJSONファイルを <code>${OUTPUT_DIR}</code> に出力。ログは <code>${LOG_FILE}</code> に出力。</p></li> <li><p><strong>前提</strong>: <code>jq</code>, <code>curl</code>, <code>bash</code> がインストール済み。API_URLはJSONを返すことを想定。</p></li> <li><p><strong>計算量</strong>: <code>jq</code> の処理はJSONデータのサイズに比例。<code>O(N)</code>。</p></li> <li><p><strong>メモリ条件</strong>: 一時ファイルとしてAPIレスポンス全体をメモリにロードする可能性がある。巨大なJSONの場合はストリーミング処理を検討。</p></li> </ul> <h4 class="wp-block-heading">root権限の扱いと権限分離</h4> <p>上記のスクリプトは、一般ユーザーで実行することを想定しています。特に <code>systemd</code> サービスとして実行する場合、<code>root</code> 権限ではなく、専用のシステムユーザー（例: <code>json_processor</code>）を作成し、そのユーザーでサービスを実行することが強く推奨されます。これにより、万が一スクリプトに脆弱性があった場合でも、システム全体への影響を最小限に抑えることができます [6]。</p> <ul class="wp-block-list"> <li><p><code>systemd</code> の <code>User=</code> および <code>Group=</code> オプションで実行ユーザーとグループを指定します。</p></li> <li><p><code>${OUTPUT_DIR}</code> や <code>${LOG_FILE}</code> は、そのユーザーが書き込み権限を持つように設定します。</p></li> </ul> <h3 class="wp-block-heading">systemd Unit/Timerによる定期実行</h3> <p><code>systemd</code> を使用して、上記のBashスクリプトを定期的に自動実行します。<code>systemd.service</code> で実行する処理を定義し、<code>systemd.timer</code> でそのサービスを起動するスケジュールを定義します [3][4]。</p> <h4 class="wp-block-heading">Service Unitファイルの作成</h4> <p><code>/etc/systemd/system/json-processor.service</code> として保存します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># /etc/systemd/system/json-processor.service [Unit] Description=JSON Data Processor Service Documentation=https://example.com/docs/json-processor After=network-online.target # ネットワークが利用可能になった後に起動 Wants=network-online.target [Service] Type=oneshot # 実行後すぐに終了するタイプのサービス User=json_processor # スクリプトを実行するユーザーを指定 (rootではない) Group=json_processor # スクリプトを実行するグループを指定 WorkingDirectory=/opt/json_processor # スクリプトが実行される作業ディレクトリ ExecStart=/opt/json_processor/process_json_data.sh # 実行するスクリプトのフルパス StandardOutput=append:/var/log/json_processor/service.log # 標準出力をログファイルに追記 StandardError=append:/var/log/json_processor/service.log # 標準エラー出力をログファイルに追記 # ExitCode=0以外で失敗とみなす # Restart=on-failure # サービスが失敗した場合に再起動 (oneshotの場合は通常不要) # TimeoutStartSec=60 # サービス起動のタイムアウト [Install] WantedBy=timers.target # このサービスはタイマーによって起動されることを示唆 </pre> </div> <ul class="wp-block-list"> <li><p><strong>User/Group</strong>: <code>json_processor</code> ユーザーとグループは事前に作成し、<code>/opt/json_processor</code> ディレクトリとログ・出力ディレクトリ (<code>/var/log/json_processor</code>, <code>/var/lib/json_processor/processed</code>) に適切な権限を付与してください。</p> <ul> <li><p>例: <code>sudo useradd -r -s /sbin/nologin json_processor</code></p></li> <li><p>例: <code>sudo chown -R json_processor:json_processor /opt/json_processor /var/log/json_processor /var/lib/json_processor</code></p></li> </ul></li> </ul> <h4 class="wp-block-heading">Timer Unitファイルの作成</h4> <p><code>/etc/systemd/system/json-processor.timer</code> として保存します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># /etc/systemd/system/json-processor.timer [Unit] Description=Run JSON Data Processor Service daily at 03:00 JST Documentation=https://example.com/docs/json-processor # After=network-online.target # タイマー自体はネットワークに依存しないが、Serviceが依存する場合がある [Timer] OnCalendar=*-*-* 03:00:00 # 毎日午前3時00分00秒 (JST) に起動 AccuracySec=1min # スケジュール時刻から最大1分程度のずれを許容 Persistent=true # タイマーが非アクティブな間に発生したイベントは、次回起動時にすぐに実行される Unit=json-processor.service # このタイマーが起動するサービスユニット [Install] WantedBy=timers.target # タイマーが自動起動されるようにする </pre> </div> <h4 class="wp-block-heading">systemdの設定と有効化</h4> <ol class="wp-block-list"> <li><p><strong>systemd設定のリロード</strong>: 新しいUnitファイルを認識させるために <code>systemd</code> デーモンをリロードします。</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl daemon-reload </pre> </div></li> <li><p><strong>タイマーの有効化と起動</strong>: タイマーを有効化し、すぐに起動します。これにより、次回指定時刻から定期実行が開始されます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl enable json-processor.timer sudo systemctl start json-processor.timer </pre> </div></li> <li><p><strong>タイマーの動作確認</strong>: タイマーの現在の状態を確認します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl status json-processor.timer # Active: active (waiting) や Next: Mon 2024-07-30 03:00:00 JST が表示されればOK </pre> </div> <p>現在 <code>2024年7月29日 JST</code> なので、次の実行は <code>2024年7月30日 03:00:00 JST</code> と表示されるはずです。</p></li> </ol> <h2 class="wp-block-heading">検証</h2> <h3 class="wp-block-heading">手動実行による検証</h3> <p>スクリプト単体でエラーなく動作するかを確認します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># スクリプトを適切なディレクトリに配置 (例: /opt/json_processor) sudo mkdir -p /opt/json_processor /var/log/json_processor /var/lib/json_processor/processed sudo cp process_json_data.sh /opt/json_processor/ sudo chmod +x /opt/json_processor/process_json_data.sh # 専用ユーザーで実行 (権限確認のため) sudo -u json_processor /opt/json_processor/process_json_data.sh </pre> </div> <p>実行後、<code>/var/lib/json_processor/processed</code> ディレクトリに整形されたJSONファイルが出力されているか、<code>/var/log/json_processor/process_json_data.log</code> にエラーがないかを確認します。</p> <h3 class="wp-block-heading">systemdタイマーの動作確認</h3> <p>タイマーが適切に設定され、次回の実行時刻が表示されていることを確認します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl list-timers --all </pre> </div> <p><code>NEXT</code> 列に意図した時刻が表示されていること、<code>LEFT</code> 列に残りの時間が表示されていることを確認します。</p> <h3 class="wp-block-heading">ログの確認</h3> <p>スクリプトと <code>systemd</code> サービスの両方のログを確認します。</p> <ul class="wp-block-list"> <li><p><strong>スクリプト固有のログ</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic">cat /var/log/json_processor/process_json_data.log </pre> </div></li> <li><p><strong>systemdサービスログ</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic">journalctl -u json-processor.service journalctl -u json-processor.timer </pre> </div> <p>これらのログを確認することで、スクリプトの実行状況、API通信の成否、jq処理の成否、および <code>systemd</code> による起動が期待通りに行われているかを詳細に把握できます。</p></li> </ul> <h2 class="wp-block-heading">運用</h2> <h3 class="wp-block-heading">権限管理とセキュリティ</h3> <ul class="wp-block-list"> <li><p><strong>最小権限の原則</strong>: <code>json_processor</code> ユーザーは、この処理に必要なファイルやディレクトリへの最小限の権限のみを持つようにします。<code>/opt/json_processor</code> や <code>/var/log/json_processor</code>、<code>/var/lib/json_processor/processed</code> は <code>json_processor</code> ユーザーが所有し、他のユーザーからの読み書きを制限します。</p></li> <li><p><strong>認証情報</strong>: API認証が必要な場合、ハードコードは避け、環境変数、または <code>systemd</code> の <code>EnvironmentFile</code> オプションでセキュアに管理します。</p></li> <li><p><strong>証明書</strong>: <code>curl</code> の <code>--cacert</code> オプションで、信頼できるCA証明書バンドルを使用し、TLS通信の安全性を確保します。</p></li> </ul> <h3 class="wp-block-heading">パフォーマンスとリソース監視</h3> <ul class="wp-block-list"> <li><p><strong>リソース消費</strong>: <code>jq</code> や <code>curl</code> の実行が長時間に及ぶ場合、CPUやメモリの使用量を監視し、必要に応じてスクリプトや処理ロジックの最適化を検討します。</p></li> <li><p><strong>ログローテーション</strong>: <code>journalctl</code> が管理する <code>systemd</code> ログは自動的にローテーションされますが、スクリプトが出力する <code>/var/log/json_processor/process_json_data.log</code> については、<code>logrotate</code> などのツールを設定してログファイルの肥大化を防ぎます。</p></li> </ul> <h3 class="wp-block-heading">設定の変更とデプロイ</h3> <ul class="wp-block-list"> <li><p><strong>設定管理</strong>: スクリプト内のAPI URLや出力パスなどの設定値は、スクリプトの外部ファイル（例: <code>/etc/json_processor/config.env</code>）に切り出し、<code>source</code> コマンドで読み込むことで、スクリプト本体の変更なしに設定変更を可能にします。</p></li> <li><p><strong>デプロイ</strong>: Gitなどのバージョン管理システムでスクリプトと <code>systemd</code> Unitファイルを管理し、CI/CDパイプラインを通じてセキュアにデプロイする仕組みを構築します。</p></li> </ul> <h2 class="wp-block-heading">トラブルシュート</h2> <h3 class="wp-block-heading">エラーメッセージの読み解き方</h3> <ul class="wp-block-list"> <li><p><strong>スクリプトのエラー</strong>: <code>set -euo pipefail</code> により、エラー発生時にスクリプトは即座に終了し、どのコマンドでエラーが発生したかがログに出力されます。例: <code>curl: (6) Could not resolve host: api.example.com</code></p></li> <li><p><strong>jqのエラー</strong>: <code>jq</code> の構文エラーは詳細なメッセージを出力します。例: <code>jq: error: syntax error, unexpected '}'</code></p></li> <li><p><strong>systemdのエラー</strong>: <code>journalctl -u json-processor.service</code> や <code>journalctl -u json-processor.timer</code> で、サービスやタイマーの起動失敗、実行ユーザーの権限問題、スクリプトの終了コードなどの情報を確認できます。</p></li> </ul> <h3 class="wp-block-heading">ログからの原因特定</h3> <p>ログはトラブルシューティングの最も重要な情報源です。</p> <ul class="wp-block-list"> <li><p>スクリプトのログ (<code>/var/log/json_processor/process_json_data.log</code>) で、<code>[INFO]</code> メッセージがどこまで進み、<code>[ERROR]</code> がどこで発生したかを確認します。</p></li> <li><p><code>systemd</code> サービスログで、<code>ExecStart</code> コマンドが正常に実行されたか、終了コードは何かを確認します。</p></li> </ul> <h3 class="wp-block-heading">一般的な問題と解決策</h3> <ul class="wp-block-list"> <li><p><strong>APIアクセス失敗</strong>:</p> <ul> <li><p><strong>原因</strong>: ネットワーク接続の問題、APIサーバーのダウン、ファイアウォールによるブロック、DNS解決失敗、不正なAPIキー、TLS証明書の問題。</p></li> <li><p><strong>解決策</strong>: <code>ping</code>, <code>curl</code> を手動実行して接続を確認。<code>--verbose</code> オプションで <code>curl</code> の詳細な出力を確認。<code>/etc/pki/tls/certs/ca-bundle.crt</code> が存在し、最新かを確認。</p></li> </ul></li> <li><p><strong>jq処理失敗</strong>:</p> <ul> <li><p><strong>原因</strong>: 入力JSONの形式が不正、<code>jq</code> フィルタの構文エラー、予期しないJSONスキーマの変更。</p></li> <li><p><strong>解決策</strong>: <code>jq</code> コマンドを簡単なJSON入力で手動で試す。入力JSONファイルを直接確認。APIのドキュメントを確認し、JSONスキーマの変更がないかチェック。</p></li> </ul></li> <li><p><strong>権限エラー</strong>:</p> <ul> <li><p><strong>原因</strong>: <code>json_processor</code> ユーザーがログファイルや出力ディレクトリに書き込み権限がない。スクリプトファイル自体に実行権限がない。</p></li> <li><p><strong>解決策</strong>: <code>ls -l</code> でファイルやディレクトリの権限を確認し、<code>chown</code>, <code>chmod</code> で修正する。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>、<code>jq</code> コマンドを用いたJSONデータ変換スクリプトを <code>curl</code> と <code>systemd</code> で自動化し、DevOps環境での堅牢なデータ処理パイプラインを構築する手法を解説しました。<code>set -euo pipefail</code> や <code>trap</code> を活用した安全なBashスクリプト、TLS検証と再試行を含む <code>curl</code> の利用、そして <code>User=</code> や <code>Group=</code> オプションによる権限分離を考慮した <code>systemd</code> Unit/Timerの設計が、システムの安定稼働とセキュリティに不可欠です。</p> <p><code>2024年7月29日 (JST)</code> 現在、これらのベストプラクティスは広く利用されており、今後のシステム運用においてもその重要性は変わりません。定期的なログ確認と適切なトラブルシューティングにより、本記事で紹介したシステムは長期にわたって安定した運用が期待できます。</p> <hr/> <p><strong>参考文献:</strong> [1] jq Developers. “jq Manual”. jqlang.github.io. (参照日: 2024年7月29日). URL: <code>https://jqlang.github.io/jq/manual/</code> [2] Daniel Stenberg and curl contributors. “curl man page”. curl.se. (参照日: 2024年7月29日). URL: <code>https://curl.se/docs/manpage.html</code> [3] systemd Project. “systemd.unit man page”. freedesktop.org. (参照日: 2024年7月29日). URL: <code>https://www.freedesktop.org/software/systemd/man/systemd.unit.html</code> [4] systemd Project. “systemd.timer man page”. freedesktop.org. (参照日: 2024年7月29日). URL: <code>https://www.freedesktop.org/software/systemd/man/systemd.timer.html</code> [5] Chet Ramey, Brian Fox. “GNU Bash Reference Manual”. gnu.org. (参照日: 2024年7月29日). URL: <code>https://www.gnu.org/savannah-checkouts/gnu/bash/manual/bash.html</code> [6] Red Hat, Inc. “Red Hat Enterprise Linux Security Hardening Guide”. access.redhat.com. (参照日: 2024年7月29日). URL: <code>https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/security_hardening/index</code></p>

graph TD
    A["開始: systemdタイマー"] --> B{"systemd Unitが起動"}
    B -- 起動 --> C("シェルスクリプト実行")
    C --> D("一時ディレクトリ作成 | & クリーンアップ設定")
    D --> E("curlで外部APIからJSON取得 | TLS検証, リトライ設定")
    E -- 成功 --> F("jqでJSONデータ変換 | フィルタリング, 整形")
    E -- 失敗 --> H("エラー処理 & ログ出力 | ステータスコード, エラーメッセージ")
    F -- 成功 --> G("変換済みデータをファイル出力 | 冪等なファイル名")
    F -- 失敗 --> H
    G --> I("終了: 一時ディレクトリ削除")
    H --> I

#!/bin/bash


# スクリプト名: process_json_data.sh

# --- 1. スクリプトのセキュリティと堅牢性の設定 ---

set -euo pipefail

# スクリプト実行日時 (JST) - 出力ファイル名に使用

TIMESTAMP=$(date +%Y%m%d%H%M%S)
LOG_FILE="/var/log/json_processor/process_json_data.log" # ログファイルパス
API_URL="https://api.example.com/data" # 取得元APIのURL (仮)
OUTPUT_DIR="/var/lib/json_processor/processed" # 変換済みJSON出力ディレクトリ

# ログディレクトリと出力ディレクトリの作成 (冪等に)

mkdir -p "$(dirname "${LOG_FILE}")"
mkdir -p "${OUTPUT_DIR}"

# --- 2. 一時ディレクトリの作成とクリーンアップ ---


# mktemp -d で安全な一時ディレクトリを作成


# `trap` を用いて、スクリプト終了時に一時ディレクトリを確実に削除する

TMP_DIR=$(mktemp -d -t json_proc_XXXXXX)
if [[ ! -d "${TMP_DIR}" ]]; then
    echo "$(date +'%Y-%m-%d %H:%M:%S JST') [ERROR] Failed to create temporary directory. Exiting." | tee -a "${LOG_FILE}"
    exit 1
fi

# スクリプト終了時に一時ディレクトリを削除

trap 'rm -rf "${TMP_DIR}"' EXIT

echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] Script started. Temporary directory: ${TMP_DIR}" | tee -a "${LOG_FILE}"

# --- 3. JSONデータの取得 (curlとTLS/再試行/バックオフ) ---


# curl を用いて外部APIからJSONデータを取得


# -sS: サイレントモード (-s) かつエラーを表示 (-S)


# --fail-with-body: HTTPエラーが発生した場合、レスポンスボディを表示して終了ステータス1を返す


# --retry 5: 5回まで再試行


# --retry-connrefused: 接続拒否でも再試行


# --retry-max-time 30: 再試行を含めて最大30秒


# --connect-timeout 5: 接続確立のタイムアウトを5秒に設定


# --max-time 10: ファイル転送全体のタイムアウトを10秒に設定


# --cacert: サーバ証明書の検証に使用するCA証明書ファイルを指定 (セキュリティ強化のため推奨)


# --tlsv1.2: TLSv1.2のみを使用 (最新のセキュリティ標準に準拠)

API_RESPONSE_FILE="${TMP_DIR}/api_response.json"
echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] Fetching JSON data from ${API_URL}..." | tee -a "${LOG_FILE}"
if ! curl -sS \
          --fail-with-body \
          --retry 5 \
          --retry-connrefused \
          --retry-max-time 30 \
          --connect-timeout 5 \
          --max-time 10 \
          --cacert /etc/pki/tls/certs/ca-bundle.crt \
          --tlsv1.2 \
          "${API_URL}" -o "${API_RESPONSE_FILE}"; then
    echo "$(date +'%Y-%m-%d %H:%M:%S JST') [ERROR] Failed to fetch data from API. See curl output above." | tee -a "${LOG_FILE}"
    exit 1
fi
echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] JSON data fetched successfully." | tee -a "${LOG_FILE}"

# --- 4. JSONデータの変換 (jqの活用例) ---


# 取得したJSONデータをjqで処理


# 例: id, name, status, timestampを抽出し、新しいJSONオブジェクトとして整形


#    timestampはISO 8601形式に変換し、JSTであることを明示


# jq 1.7以降では`--argfile`が利用可能です [1]。

PROCESSED_DATA_FILE="${OUTPUT_DIR}/processed_data_${TIMESTAMP}.json"
echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] Processing JSON data with jq..." | tee -a "${LOG_FILE}"

if ! jq -r '[.[] | {
    id: .id,
    name: .name,
    status: .status,
    updated_at: (.timestamp | strptime("%Y-%m-%dT%H:%M:%SZ") | localtime | strftime("%Y-%m-%dT%H:%M:%S%z"))
}]' "${API_RESPONSE_FILE}" > "${PROCESSED_DATA_FILE}"; then
    echo "$(date +'%Y-%m-%d %H:%M:%S JST') [ERROR] Failed to process JSON data with jq." | tee -a "${LOG_FILE}"
    exit 1
fi
echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] JSON data processed and saved to ${PROCESSED_DATA_FILE}" | tee -a "${LOG_FILE}"

echo "$(date +'%Y-%m-%d %H:%M:%S JST') [INFO] Script finished successfully." | tee -a "${LOG_FILE}"
exit 0

# /etc/systemd/system/json-processor.service

[Unit]
Description=JSON Data Processor Service
Documentation=https://example.com/docs/json-processor
After=network-online.target # ネットワークが利用可能になった後に起動
Wants=network-online.target

[Service]
Type=oneshot # 実行後すぐに終了するタイプのサービス
User=json_processor # スクリプトを実行するユーザーを指定 (rootではない)
Group=json_processor # スクリプトを実行するグループを指定
WorkingDirectory=/opt/json_processor # スクリプトが実行される作業ディレクトリ
ExecStart=/opt/json_processor/process_json_data.sh # 実行するスクリプトのフルパス
StandardOutput=append:/var/log/json_processor/service.log # 標準出力をログファイルに追記
StandardError=append:/var/log/json_processor/service.log # 標準エラー出力をログファイルに追記

# ExitCode=0以外で失敗とみなす


# Restart=on-failure # サービスが失敗した場合に再起動 (oneshotの場合は通常不要)


# TimeoutStartSec=60 # サービス起動のタイムアウト

[Install]
WantedBy=timers.target # このサービスはタイマーによって起動されることを示唆

# /etc/systemd/system/json-processor.timer

[Unit]
Description=Run JSON Data Processor Service daily at 03:00 JST
Documentation=https://example.com/docs/json-processor

# After=network-online.target # タイマー自体はネットワークに依存しないが、Serviceが依存する場合がある

[Timer]
OnCalendar=*-*-* 03:00:00 # 毎日午前3時00分00秒 (JST) に起動
AccuracySec=1min # スケジュール時刻から最大1分程度のずれを許容
Persistent=true # タイマーが非アクティブな間に発生したイベントは、次回起動時にすぐに実行される
Unit=json-processor.service # このタイマーが起動するサービスユニット

[Install]
WantedBy=timers.target # タイマーが自動起動されるようにする

# スクリプトを適切なディレクトリに配置 (例: /opt/json_processor)

sudo mkdir -p /opt/json_processor /var/log/json_processor /var/lib/json_processor/processed
sudo cp process_json_data.sh /opt/json_processor/
sudo chmod +x /opt/json_processor/process_json_data.sh

# 専用ユーザーで実行 (権限確認のため)

sudo -u json_processor /opt/json_processor/process_json_data.sh

sudo systemctl list-timers --all