<p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Bashスクリプトの堅牢なエラーハンドリング実践ガイド</h1> <p>DevOpsの現場において、自動化スクリプトの信頼性はシステム全体の安定性を左右する重要な要素です。本ガイドでは、Bashスクリプトを堅牢にするためのエラーハンドリング手法、外部コマンドの安全な利用、そして<code>systemd</code>との連携による自動化と監視について解説します。</p> <h2 class="wp-block-heading">要件と前提</h2> <h3 class="wp-block-heading">目的</h3> <p>本ガイドの目的は、予期せぬエラー発生時にもスクリプトが安全に終了し、システムに悪影響を与えず、かつ問題の特定を容易にするような、信頼性の高いBashスクリプトを記述するための知識と実践例を提供することです。</p> <h3 class="wp-block-heading">前提</h3> <ul class="wp-block-list"> <li><p>Linux環境（Ubuntu/CentOSなど）が動作していること。</p></li> <li><p>Bash 4.x以降がインストールされていること。</p></li> <li><p><code>curl</code>, <code>jq</code>, <code>systemctl</code>, <code>journalctl</code> などの基本コマンドが利用可能であること。</p></li> <li><p>DevOpsエンジニアとして、スクリプトの自動化、監視、トラブルシューティングの基本的な知識があること。</p></li> </ul> <h3 class="wp-block-heading">堅牢性の原則</h3> <ul class="wp-block-list"> <li><p><strong>冪等性 (Idempotence)</strong>: スクリプトを複数回実行しても、一度実行した場合と同じ結果が得られるように設計します。</p></li> <li><p><strong>早期失敗 (Fail Fast)</strong>: 問題が検出されたらすぐに停止し、それ以上の処理を進めないようにします。</p></li> <li><p><strong>リソースクリーンアップ</strong>: 一時ファイルやディレクトリなどは、スクリプトの終了時（正常/異常を問わず）に必ずクリーンアップします。</p></li> <li><p><strong>詳細なログ</strong>: 何が起こったか、どこで失敗したかを明確に記録します。</p></li> <li><p><strong>リトライメカニズム</strong>: ネットワークの一時的な問題など、回復可能なエラーに対してはリトライを実装します。</p></li> </ul> <h2 class="wp-block-heading">実装</h2> <h3 class="wp-block-heading">基本原則: <code>set -euo pipefail</code></h3> <p>スクリプトの冒頭に <code>set -euo pipefail</code> を記述することは、堅牢なBashスクリプトの基本中の基本です。</p> <ul class="wp-block-list"> <li><p><code>set -e</code>: コマンドがゼロ以外の終了ステータスを返した場合、スクリプトは即座に終了します。これにより、エラーを見落として処理が続行されることを防ぎます。</p></li> <li><p><code>set -u</code>: 未定義の変数を参照しようとした場合、スクリプトはエラーで終了します。typoによる変数名の誤用などを防ぎます。</p></li> <li><p><code>set -o pipefail</code>: パイプライン内で一つでもコマンドが失敗した場合、パイプライン全体の終了ステータスがその失敗したコマンドの終了ステータスとなります。これにより、中間コマンドの失敗を見落としにくくなります。</p></li> </ul> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash set -euo pipefail # スクリプトの実行例 # 未定義変数参照でエラー (set -u) # echo "$UNDEFINED_VAR" # 存在しないコマンド実行でエラー (set -e) # non_existent_command # パイプライン途中でエラー (set -o pipefail) # cat /dev/null | grep non_existent_pattern | exit 1 </pre> </div> <h3 class="wp-block-heading">エラーハンドリング: <code>trap</code></h3> <p><code>trap</code> コマンドは、特定のシグナルやイベントが発生した際に実行するコマンドを指定します。エラー処理とリソースクリーンアップに非常に有効です。</p> <ul class="wp-block-list"> <li><p><code>trap '...' ERR</code>: <code>set -e</code> で捕捉されるようなエラーが発生した場合に実行されます。</p></li> <li><p><code>trap '...' EXIT</code>: スクリプトが終了する直前（正常終了、異常終了問わず）に必ず実行されます。</p></li> </ul> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash set -euo pipefail # 一時ディレクトリのパスを定義 TMP_DIR="" # エラーハンドリング関数 # スクリプトがエラーで終了した場合に実行される error_handler() { local exit_code=$? local current_command="$BASH_COMMAND" echo "エラー: コマンド '$current_command' が終了コード $exit_code で失敗しました。" >&2 if [[ -n "$TMP_DIR" && -d "$TMP_DIR" ]]; then echo "一時ディレクトリ $TMP_DIR をクリーンアップします。" >&2 rm -rf "$TMP_DIR" fi exit "$exit_code" # 元のエラーコードで終了 } # 終了時クリーンアップ関数 # スクリプトが正常/異常終了する際に必ず実行される cleanup_on_exit() { echo "スクリプトが終了します。最終クリーンアップを実行中..." if [[ -n "$TMP_DIR" && -d "$TMP_DIR" ]]; then echo "一時ディレクトリ $TMP_DIR を削除しました。" rm -rf "$TMP_DIR" fi # その他のクリーンアップ処理があればここに記述 } # ERRシグナルでerror_handlerを実行 trap 'error_handler' ERR # EXITシグナルでcleanup_on_exitを実行 (ERRハンドラより後に定義することで、EXITは必ず実行される) trap 'cleanup_on_exit' EXIT echo "スクリプト開始: $(date '+%Y-%m-%d %H:%M:%S JST')" # 一時ディレクトリの安全な利用 TMP_DIR=$(mktemp -d -t myapp-XXXXXXXXXX) echo "一時ディレクトリが $TMP_DIR に作成されました。" # 以下に主要な処理を記述 # ... echo "スクリプトが正常に完了しました。" </pre> </div> <h3 class="wp-block-heading">外部コマンドの堅牢な利用</h3> <h4 class="wp-block-heading"><code>curl</code>によるHTTPリクエスト</h4> <p>外部APIとの連携では、ネットワークの一時的な障害やサーバー側の問題が頻繁に発生します。<code>curl</code>を堅牢に利用するには、TLS検証、リトライ、バックオフ戦略が重要です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash set -euo pipefail API_ENDPOINT="https://api.example.com/data" OUTPUT_FILE="${TMP_DIR}/api_response.json" # TMP_DIRはtrapの例で作成されたもの # curlコマンドの実行 # --fail: HTTPエラー(4xx/5xx)で終了コード22を返す # --retry 5: 最大5回リトライ # --retry-delay 3: リトライ間隔を3秒から開始 # --retry-max-time 30: リトライ全体の最大時間を30秒 # --cacert /etc/ssl/certs/ca-certificates.crt: システムのCA証明書を利用してTLS検証 (または特定の証明書) # --tlsv1.2: TLSv1.2以上を強制 # -s: サイレントモード (プログレスメーター非表示) # -S: エラー時は表示 echo "APIからデータを取得します: $API_ENDPOINT" if ! curl -sS --fail --retry 5 --retry-delay 3 --retry-max-time 30 \ --cacert /etc/ssl/certs/ca-certificates.crt --tlsv1.2 \ -o "$OUTPUT_FILE" "$API_ENDPOINT"; then echo "エラー: APIからのデータ取得に失敗しました。" >&2 exit 1 # trap ERRが捕捉 fi echo "APIレスポンスを $OUTPUT_FILE に保存しました。" # ファイルが空でないか確認 if [[ ! -s "$OUTPUT_FILE" ]]; then echo "エラー: 取得したファイルが空または存在しません: $OUTPUT_FILE" >&2 exit 1 fi </pre> </div> <h4 class="wp-block-heading"><code>jq</code>によるJSON処理</h4> <p>JSONデータのパースは、入力データが不正である場合にスクリプトが停止しないよう注意が必要です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash set -euo pipefail # OUTPUT_FILEはcurlの例で作成されたもの # JSONが正しいかバリデートし、特定のフィールドを抽出する echo "JSONデータを処理します: $OUTPUT_FILE" if ! jq -e '.status == "success" and .data' "$OUTPUT_FILE" > /dev/null; then echo "エラー: JSONデータの検証に失敗しました。無効な形式または予期せぬデータ構造です。" >&2 cat "$OUTPUT_FILE" >&2 # デバッグ用に不正なJSONを出力 exit 1 fi # 正常にパースできる場合 STATUS=$(jq -r '.status' "$OUTPUT_FILE") DATA_VALUE=$(jq -r '.data.value' "$OUTPUT_FILE") echo "ステータス: $STATUS" echo "データ値: $DATA_VALUE" </pre> </div> <p><code>jq -e</code>オプションは、フィルタがfalseまたはnullを返した場合に終了コード1を返します。これにより、JSON内の特定の条件が満たされない場合でもエラーを捕捉できます。</p> <h3 class="wp-block-heading">ルート権限と権限分離の注意点</h3> <p>自動化スクリプトを記述する際、ルート権限の使用は最小限に留めるべきです。</p> <ul class="wp-block-list"> <li><p><strong>最小権限の原則</strong>: スクリプトは、そのタスクを遂行するために必要な最小限の権限のみを持つべきです。</p></li> <li><p><strong>専用ユーザー</strong>: 特定のサービスやタスク用に専用のLinuxユーザーを作成し、そのユーザーでスクリプトを実行させます。<code>systemd</code>の <code>User=</code> オプションや <code>sudo -u</code> コマンドを活用します。</p></li> <li><p><strong>sudoの活用</strong>: ルート権限が必要な特定のコマンドのみ、<code>sudo</code> を介して実行し、パスワードなしで実行できるように <code>sudoers</code> ファイルを適切に設定します。ただし、<code>NOPASSWD</code> の使用は慎重に行い、特定のコマンドのみに限定すべきです。</p></li> <li><p><strong>権限の昇格は限定的に</strong>: スクリプト全体をルートで実行するのではなく、必要最小限のセクションのみで権限を昇格させます。</p></li> </ul> <p>例: 専用ユーザーでスクリプトを実行</p> <div class="codehilite"> <pre data-enlighter-language="generic"># systemd UnitファイルでUser=myapp_userを指定 # または sudo -u myapp_user /path/to/my_script.sh </pre> </div> <h2 class="wp-block-heading"><code>systemd</code>連携による自動化と監視</h2> <p><code>systemd</code>は、Linuxシステムにおけるサービス管理のデファクトスタンダードです。Bashスクリプトを<code>systemd</code>と連携させることで、定時実行、自動再起動、ログ管理などが容易になります。</p> <h3 class="wp-block-heading">スクリプトの準備</h3> <p>上記の堅牢なBashスクリプトを <code>/opt/my_app/scripts/process_data.sh</code> に配置し、実行権限を付与します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash # /opt/my_app/scripts/process_data.sh set -euo pipefail # 一時ディレクトリのパスを定義 TMP_DIR="" # エラーハンドリング関数 error_handler() { local exit_code=$? local current_command="$BASH_COMMAND" echo "process_data.sh エラー: コマンド '$current_command' が終了コード $exit_code で失敗しました。" >&2 if [[ -n "$TMP_DIR" && -d "$TMP_DIR" ]]; then echo "process_data.sh 一時ディレクトリ $TMP_DIR をクリーンアップします。" >&2 rm -rf "$TMP_DIR" fi exit "$exit_code" } # 終了時クリーンアップ関数 cleanup_on_exit() { echo "process_data.sh 終了。最終クリーンアップ実行中..." if [[ -n "$TMP_DIR" && -d "$TMP_DIR" ]]; then echo "process_data.sh 一時ディレクトリ $TMP_DIR を削除しました。" rm -rf "$TMP_DIR" fi } trap 'error_handler' ERR trap 'cleanup_on_exit' EXIT echo "process_data.sh 開始: $(date '+%Y-%m-%d %H:%M:%S JST')" LOG_FILE="/var/log/my_app/process_data-$(date +%Y%m%d%H%M%S).log" mkdir -p /var/log/my_app/ exec > >(tee -a "$LOG_FILE") 2>&1 # 標準出力と標準エラー出力をログファイルとjournalctlの両方に出力 # 一時ディレクトリの作成 TMP_DIR=$(mktemp -d -t myapp-XXXXXXXXXX) echo "process_data.sh 一時ディレクトリが $TMP_DIR に作成されました。" # curlとjqの処理例（簡略化） echo "process_data.sh 外部データ取得と処理を開始..." sleep 5 # 処理のシミュレーション # 実際のcurl/jq処理は上記の例を参照 echo "process_data.sh 正常に完了しました。" exit 0 # 明示的な正常終了 </pre> </div> <p>このスクリプトは <code>/opt/my_app/scripts/</code> ディレクトリに配置し、実行権限 (<code>chmod +x process_data.sh</code>) を付与してください。また、<code>jq</code>と<code>curl</code>がインストールされていることを確認してください。</p> <h3 class="wp-block-heading">Unitファイル例 (<code>/etc/systemd/system/my-app-processor.service</code>)</h3> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=My Application Data Processor Script Documentation=https://example.com/docs/my-app-processor After=network-online.target # ネットワークが利用可能になった後に起動 Wants=network-online.target [Service] Type=oneshot # 一度実行して終了するサービス User=myapp_user # 専用のユーザーで実行（事前に作成しておくこと） Group=myapp_user # 専用のグループで実行 WorkingDirectory=/opt/my_app/scripts # スクリプトの作業ディレクトリ ExecStart=/opt/my_app/scripts/process_data.sh Environment="PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" # PATHを設定 StandardOutput=journal # 標準出力をsystemd journalに送る StandardError=journal # 標準エラー出力をsystemd journalに送る # Restart=on-failure # 失敗時に自動再起動 (oneshotの場合は通常不要) # RestartSec=5 # 再起動までの待機秒数 [Install] WantedBy=multi-user.target # 通常のマルチユーザー環境で利用可能 </pre> </div> <p><strong>注意</strong>: <code>myapp_user</code> は事前に <code>sudo useradd -r -s /usr/sbin/nologin myapp_user</code> などで作成してください。</p> <h3 class="wp-block-heading">Timerファイル例 (<code>/etc/systemd/system/my-app-processor.timer</code>)</h3> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Run My Application Data Processor Daily [Timer] OnCalendar=*-*-* 03:00:00 # 毎日午前3時JSTに実行 Persistent=true # タイマーがオフライン中に発生したイベントも次回起動時に実行 RandomizedDelaySec=600 # 起動時間を最大10分ランダムに遅延させて、同時に複数のタイマーが起動するのを防ぐ [Install] WantedBy=timers.target # タイマーサービスとして利用可能 </pre> </div> <h3 class="wp-block-heading">設定と起動</h3> <ol class="wp-block-list"> <li><p><strong>systemd設定のリロード</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl daemon-reload </pre> </div></li> <li><p><strong>タイマーの有効化と起動</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl enable my-app-processor.timer # システム起動時にタイマーが有効になるようにする sudo systemctl start my-app-processor.timer # タイマーをすぐに起動する </pre> </div></li> <li><p><strong>状態の確認</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic">systemctl status my-app-processor.timer systemctl status my-app-processor.service </pre> </div> <p>実行履歴は <code>systemctl list-timers</code> で確認できます。</p></li> <li><p><strong>ログの確認</strong>: <code>systemd</code>サービスは <code>journalctl</code> を通じてログを集中管理します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">journalctl -u my-app-processor.service --since "today" -f </pre> </div> <p><code>-f</code> オプションはリアルタイムでログを追跡します。</p></li> </ol> <h3 class="wp-block-heading">Mermaidフローチャート</h3> <p><code>systemd</code>によって Bash スクリプトがどのように実行され、エラーがハンドリングされるかを示すフローチャートです。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["systemd Timer起動"] --> B("systemd Unit実行開始"); B --> C["スクリプト実行 (`ExecStart`)"]; C --> D["Bash環境設定 (set -euo pipefail)"]; D --> E["エラー/終了時トラップ設定 (trap ERR/EXIT)"]; E --> F["一時ディレクトリ作成 (`mktemp -d`)"]; F --> G{"外部API呼び出し (curl --fail --retry)"}; G --|成功| H{"JSONデータ処理 (jq -e)"}; G --|失敗| I["エラーログ記録 & 早期終了"]; H --|成功| J["主要ビジネスロジック実行"]; H --|失敗| I; J --> K["一時ディレクトリ削除 (trap EXITにて)"]; K --> L["スクリプト正常終了 (exit 0)"]; I --> M["systemd Unit失敗終了 (非ゼロ終了コード)"]; L --> N["systemd Unit正常終了 (ゼロ終了コード)"]; M --> O["journalctlでエラーログ確認"]; N --> P["journalctlで正常ログ確認"]; </pre></div> <h2 class="wp-block-heading">検証</h2> <p>スクリプトの堅牢性を確保するためには、以下のシナリオで徹底的なテストが必要です。</p> <ul class="wp-block-list"> <li><p><strong>正常系</strong>: 全てのコマンドが成功し、期待通りの出力とクリーンアップが行われることを確認。</p></li> <li><p><strong>異常系</strong>:</p> <ul> <li><p>ネットワーク障害: <code>curl</code>がリトライしても失敗する場合など。</p></li> <li><p>APIサーバーエラー: HTTP 4xx/5xx レスポンス。</p></li> <li><p>不正なJSONデータ: <code>jq</code>がパースに失敗する場合。</p></li> <li><p>ディスク容量不足: 一時ファイル作成が失敗する場合。</p></li> <li><p>権限エラー: ファイル書き込みやコマンド実行に必要な権限がない場合。</p></li> </ul></li> <li><p><strong>中断時</strong>: <code>Ctrl+C</code> や <code>kill</code> シグナル (SIGTERM) を送った場合に、<code>trap EXIT</code> が適切に機能し、リソースがクリーンアップされることを確認。</p></li> </ul> <h2 class="wp-block-heading">運用</h2> <ul class="wp-block-list"> <li><p><strong>ログ監視</strong>: <code>journalctl</code> と連携し、ログ収集ツール (Fluentd, Promtail, rsyslogなど) を利用して、スクリプトの成功/失敗を監視します。エラーログはアラート対象とします。</p></li> <li><p><strong>メトリクス収集</strong>: スクリプトの実行時間、成功率、処理データ量などをPrometheusなどのメトリクスシステムで収集し、ダッシュボードで可視化します。</p></li> <li><p><strong>セキュリティパッチ</strong>: <code>curl</code>, <code>jq</code>, <code>bash</code> 自体を含むOSのセキュリティパッチを定期的に適用し、脆弱性を解消します。</p></li> <li><p><strong>レビューとバージョン管理</strong>: スクリプトはコードレビューとGitなどでのバージョン管理を行い、変更履歴を追跡可能にします。</p></li> </ul> <h2 class="wp-block-heading">トラブルシュート</h2> <p>スクリプトが期待通りに動作しない場合、以下の手順でトラブルシューティングを行います。</p> <ol class="wp-block-list"> <li><p><strong><code>journalctl</code>の確認</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic">journalctl -u my-app-processor.service --since "1 hour ago" -xe </pre> </div> <p><code>-x</code> は詳細な説明を表示し、<code>-e</code> は最新のログエントリにジャンプします。</p></li> <li><p><strong>スクリプトのデバッグ実行</strong>: <code>bash -x /opt/my_app/scripts/process_data.sh</code> <code>-x</code> オプションは、実行される各コマンドとその引数を標準エラー出力に表示します。これにより、どのコマンドで問題が発生しているかを詳細に確認できます。</p></li> <li><p><strong>環境変数の確認</strong>: スクリプトが依存する環境変数が正しく設定されているか確認します。<code>systemd</code>サービスの場合、<code>Environment=</code> ディレクティブで設定されているか、またはスクリプト内で明示的に設定されているかを確認します。</p></li> <li><p><strong>権限の確認</strong>: スクリプトを実行しているユーザーが、必要なファイルやディレクトリへのアクセス権限、およびコマンドの実行権限を持っているか確認します。</p></li> </ol> <h2 class="wp-block-heading">まとめ</h2> <p>本ガイドでは、Bashスクリプトを堅牢にするための多角的なアプローチを紹介しました。<code>set -euo pipefail</code> による早期失敗の原則、<code>trap</code> を活用したエラー処理とリソースクリーンアップ、<code>curl</code>と<code>jq</code>の安全な利用、そして<code>systemd</code>連携による自動化と監視は、DevOpsエンジニアが信頼性の高いシステムを構築する上で不可欠な要素です。</p> <p>これらのプラクティスを遵守することで、スクリプトの安定性が向上し、運用中のトラブルを最小限に抑え、問題発生時にも迅速な特定と解決が可能になります。{{jst_today}}現在、これらの手法は広く推奨されるベストプラクティスであり、今後のシステム開発においても中心的な役割を果たすでしょう。</p>

#!/bin/bash

set -euo pipefail

# スクリプトの実行例


# 未定義変数参照でエラー (set -u)


# echo "$UNDEFINED_VAR"

# 存在しないコマンド実行でエラー (set -e)


# non_existent_command

# パイプライン途中でエラー (set -o pipefail)


# cat /dev/null | grep non_existent_pattern | exit 1

#!/bin/bash

set -euo pipefail

# 一時ディレクトリのパスを定義

TMP_DIR=""

# エラーハンドリング関数


# スクリプトがエラーで終了した場合に実行される

error_handler() {
    local exit_code=$?
    local current_command="$BASH_COMMAND"
    echo "エラー: コマンド '$current_command' が終了コード $exit_code で失敗しました。" >&2
    if [[ -n "$TMP_DIR" && -d "$TMP_DIR" ]]; then
        echo "一時ディレクトリ $TMP_DIR をクリーンアップします。" >&2
        rm -rf "$TMP_DIR"
    fi
    exit "$exit_code" # 元のエラーコードで終了
}

# 終了時クリーンアップ関数


# スクリプトが正常/異常終了する際に必ず実行される

cleanup_on_exit() {
    echo "スクリプトが終了します。最終クリーンアップを実行中..."
    if [[ -n "$TMP_DIR" && -d "$TMP_DIR" ]]; then
        echo "一時ディレクトリ $TMP_DIR を削除しました。"
        rm -rf "$TMP_DIR"
    fi

    # その他のクリーンアップ処理があればここに記述

}

# ERRシグナルでerror_handlerを実行

trap 'error_handler' ERR

# EXITシグナルでcleanup_on_exitを実行 (ERRハンドラより後に定義することで、EXITは必ず実行される)

trap 'cleanup_on_exit' EXIT

echo "スクリプト開始: $(date '+%Y-%m-%d %H:%M:%S JST')"

# 一時ディレクトリの安全な利用

TMP_DIR=$(mktemp -d -t myapp-XXXXXXXXXX)
echo "一時ディレクトリが $TMP_DIR に作成されました。"

# 以下に主要な処理を記述


# ...

echo "スクリプトが正常に完了しました。"

#!/bin/bash

set -euo pipefail

API_ENDPOINT="https://api.example.com/data"
OUTPUT_FILE="${TMP_DIR}/api_response.json" # TMP_DIRはtrapの例で作成されたもの

# curlコマンドの実行


# --fail: HTTPエラー(4xx/5xx)で終了コード22を返す


# --retry 5: 最大5回リトライ


# --retry-delay 3: リトライ間隔を3秒から開始


# --retry-max-time 30: リトライ全体の最大時間を30秒


# --cacert /etc/ssl/certs/ca-certificates.crt: システムのCA証明書を利用してTLS検証 (または特定の証明書)


# --tlsv1.2: TLSv1.2以上を強制


# -s: サイレントモード (プログレスメーター非表示)


# -S: エラー時は表示

echo "APIからデータを取得します: $API_ENDPOINT"
if ! curl -sS --fail --retry 5 --retry-delay 3 --retry-max-time 30 \
         --cacert /etc/ssl/certs/ca-certificates.crt --tlsv1.2 \
         -o "$OUTPUT_FILE" "$API_ENDPOINT"; then
    echo "エラー: APIからのデータ取得に失敗しました。" >&2
    exit 1 # trap ERRが捕捉
fi
echo "APIレスポンスを $OUTPUT_FILE に保存しました。"

# ファイルが空でないか確認

if [[ ! -s "$OUTPUT_FILE" ]]; then
    echo "エラー: 取得したファイルが空または存在しません: $OUTPUT_FILE" >&2
    exit 1
fi

#!/bin/bash

set -euo pipefail

# OUTPUT_FILEはcurlの例で作成されたもの


# JSONが正しいかバリデートし、特定のフィールドを抽出する

echo "JSONデータを処理します: $OUTPUT_FILE"
if ! jq -e '.status == "success" and .data' "$OUTPUT_FILE" > /dev/null; then
    echo "エラー: JSONデータの検証に失敗しました。無効な形式または予期せぬデータ構造です。" >&2
    cat "$OUTPUT_FILE" >&2 # デバッグ用に不正なJSONを出力
    exit 1
fi

# 正常にパースできる場合

STATUS=$(jq -r '.status' "$OUTPUT_FILE")
DATA_VALUE=$(jq -r '.data.value' "$OUTPUT_FILE")

echo "ステータス: $STATUS"
echo "データ値: $DATA_VALUE"

# systemd UnitファイルでUser=myapp_userを指定


# または

sudo -u myapp_user /path/to/my_script.sh

#!/bin/bash


# /opt/my_app/scripts/process_data.sh

set -euo pipefail

# 一時ディレクトリのパスを定義

TMP_DIR=""

# エラーハンドリング関数

error_handler() {
    local exit_code=$?
    local current_command="$BASH_COMMAND"
    echo "process_data.sh エラー: コマンド '$current_command' が終了コード $exit_code で失敗しました。" >&2
    if [[ -n "$TMP_DIR" && -d "$TMP_DIR" ]]; then
        echo "process_data.sh 一時ディレクトリ $TMP_DIR をクリーンアップします。" >&2
        rm -rf "$TMP_DIR"
    fi
    exit "$exit_code"
}

# 終了時クリーンアップ関数

cleanup_on_exit() {
    echo "process_data.sh 終了。最終クリーンアップ実行中..."
    if [[ -n "$TMP_DIR" && -d "$TMP_DIR" ]]; then
        echo "process_data.sh 一時ディレクトリ $TMP_DIR を削除しました。"
        rm -rf "$TMP_DIR"
    fi
}

trap 'error_handler' ERR
trap 'cleanup_on_exit' EXIT

echo "process_data.sh 開始: $(date '+%Y-%m-%d %H:%M:%S JST')"
LOG_FILE="/var/log/my_app/process_data-$(date +%Y%m%d%H%M%S).log"
mkdir -p /var/log/my_app/

exec > >(tee -a "$LOG_FILE") 2>&1 # 標準出力と標準エラー出力をログファイルとjournalctlの両方に出力

# 一時ディレクトリの作成

TMP_DIR=$(mktemp -d -t myapp-XXXXXXXXXX)
echo "process_data.sh 一時ディレクトリが $TMP_DIR に作成されました。"

# curlとjqの処理例（簡略化）

echo "process_data.sh 外部データ取得と処理を開始..."
sleep 5 # 処理のシミュレーション

# 実際のcurl/jq処理は上記の例を参照

echo "process_data.sh 正常に完了しました。"
exit 0 # 明示的な正常終了

[Unit]
Description=My Application Data Processor Script
Documentation=https://example.com/docs/my-app-processor
After=network-online.target # ネットワークが利用可能になった後に起動
Wants=network-online.target

[Service]
Type=oneshot # 一度実行して終了するサービス
User=myapp_user # 専用のユーザーで実行（事前に作成しておくこと）
Group=myapp_user # 専用のグループで実行
WorkingDirectory=/opt/my_app/scripts # スクリプトの作業ディレクトリ
ExecStart=/opt/my_app/scripts/process_data.sh
Environment="PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin" # PATHを設定
StandardOutput=journal # 標準出力をsystemd journalに送る
StandardError=journal # 標準エラー出力をsystemd journalに送る

# Restart=on-failure # 失敗時に自動再起動 (oneshotの場合は通常不要)


# RestartSec=5 # 再起動までの待機秒数

[Install]
WantedBy=multi-user.target # 通常のマルチユーザー環境で利用可能

[Unit]
Description=Run My Application Data Processor Daily

[Timer]
OnCalendar=*-*-* 03:00:00 # 毎日午前3時JSTに実行
Persistent=true # タイマーがオフライン中に発生したイベントも次回起動時に実行
RandomizedDelaySec=600 # 起動時間を最大10分ランダムに遅延させて、同時に複数のタイマーが起動するのを防ぐ

[Install]
WantedBy=timers.target # タイマーサービスとして利用可能

graph TD
    A["systemd Timer起動"] --> B("systemd Unit実行開始");
    B --> C["スクリプト実行 (`ExecStart`)"];
    C --> D["Bash環境設定 (set -euo pipefail)"];
    D --> E["エラー/終了時トラップ設定 (trap ERR/EXIT)"];
    E --> F["一時ディレクトリ作成 (`mktemp -d`)"];
    F --> G{"外部API呼び出し (curl --fail --retry)"};
    G --|成功| H{"JSONデータ処理 (jq -e)"};
    G --|失敗| I["エラーログ記録 & 早期終了"];
    H --|成功| J["主要ビジネスロジック実行"];
    H --|失敗| I;
    J --> K["一時ディレクトリ削除 (trap EXITにて)"];
    K --> L["スクリプト正常終了 (exit 0)"];
    I --> M["systemd Unit失敗終了 (非ゼロ終了コード)"];
    L --> N["systemd Unit正常終了 (ゼロ終了コード)"];
    M --> O["journalctlでエラーログ確認"];
    N --> P["journalctlで正常ログ確認"];