コマンド – セキュリティエンジニアの雑多ブログ https://cybermemo.blog セキュリティエンジニアの学習記録 Sun, 14 Dec 2025 08:10:33 +0000 ja hourly 1 https://wordpress.org/?v=6.9.1 https://cybermemo.blog/wp-content/uploads/2025/10/cropped-トップアイコン-32x32.jpg コマンド – セキュリティエンジニアの雑多ブログ https://cybermemo.blog 32 32 外部結合ってどんな時に使うの? https://cybermemo.blog/when-to-use-outer-join https://cybermemo.blog/when-to-use-outer-join#respond Sun, 14 Dec 2025 08:09:43 +0000 https://cybermemo.blog/?p=584

はじめに SQLの勉強をしていて、外部結合をどんな時に使うのかイメージできなかったので調べてみた。 内部結合と外部結合の違い 内部結合(INNER JOIN) 両方のテーブルに 一致するデータがある行だけ 出す。「関係が […]]]>

はじめに

SQLの勉強をしていて、外部結合をどんな時に使うのかイメージできなかったので調べてみた。

内部結合と外部結合の違い

内部結合(INNER JOIN)

両方のテーブルに 一致するデータがある行だけ 出す。
「関係が成立しているものだけ見たい」

外部結合(OUTER JOIN)

一致しない行も 欠けたまま(NULL)で出す。
「関係が成立していないものも把握したい」

”存在していない事実を確認したいときが外部結合の出番。

サンプルデータを用意

シナリオ

登録だけして注文をしたことがない人を確認したい。

usersテーブル

登録ユーザーが記録されたテーブル。

user_idname
1Sato
2Suzuki
3Tanaka

ordersテーブル

注文履歴が記録されたテーブル。

order_iduser_idamount
10113000
10231500

外部結合でデータを抽出する

SQLで左外部結合

SELECT
  u.user_id, u.name,
  o.order_id, o.order_date, o.amount
FROM users u
LEFT OUTER JOIN orders o
  ON u.user_id = o.user_id
ORDER BY u.user_id, o.order_id;

結果

Suzukiさんは ordersテーブル に対応するデータがないため、注文していないことが分かる。

user_idnameorder_idorder_dateamount
1Sato1012025-12-063000
2SuzukiNULLNULLNULL
3Tanaka1022025-12-071500

解説

左外部結合なので usersテーブル に ordersテーブル をくっつけている。
そのため、ordersテーブルに値がなくてもNULL表示される。
ordersテーブルの値がNULL = 注文をしたことがない人が分かる。

ベン図_左外部結合

結論

外部結合は「ある/ない」を確認したいときに使える。

]]> https://cybermemo.blog/when-to-use-outer-join/feed 0 SQL構文メモ https://cybermemo.blog/mysql-sql-cheatsheet https://cybermemo.blog/mysql-sql-cheatsheet#respond Sun, 14 Dec 2025 06:33:52 +0000 https://cybermemo.blog/?p=582

はじめに 自分用のSQL構文メモ。MySQL用。 MySQLへのログイン データベース操作 データベース作成 データベース削除 データベース一覧確認 使用するデータベースの切り替え 現在使用中のデータベース確認 テーブル […]]]>

はじめに

自分用のSQL構文メモ。
MySQL用。

MySQLへのログイン

mysql -u ユーザー名 -p

データベース操作

データベース作成

CREATE DATABASE データベース名;

データベース削除

DROP DATABASE データベース名;

データベース一覧確認

SHOW DATABASES;

使用するデータベースの切り替え

USE データベース名;

現在使用中のデータベース確認

SELECT DATABASE();

テーブル操作

テーブル作成(基本)

CREATE TABLE テーブル名 (
フィールド名1 データ型,
フィールド名2 データ型
);

プライマリーキー・AUTO_INCREMENT付きテーブル作成

CREATE TABLE テーブル名 (
id INT AUTO_INCREMENT,
フィールド名 データ型,
PRIMARY KEY (id)
);

テーブル削除

DROP TABLE テーブル名;

テーブル一覧確認

SHOW TABLES;

テーブル定義確認

SHOW FIELDS FROM テーブル名;

フィールド(カラム)操作

フィールド追加

ALTER TABLE テーブル名 ADD 追加フィールド データ型 AFTER 既存フィールド;

フィールド削除

ALTER TABLE テーブル名 DROP 削除対象フィールド;

フィールド名変更

ALTER TABLE テーブル名 CHANGE 旧フィールド名 新フィールド名 データ型;

フィールドのデータ型変更

ALTER TABLE テーブル名 MODIFY フィールド名 データ型;

NOT NULL 制約の設定

ALTER TABLE テーブル名
MODIFY フィールド1 データ型 NOT NULL,
MODIFY フィールド2 データ型 NOT NULL;

デフォルト値の設定

ALTER TABLE テーブル名
ALTER フィールド名 SET DEFAULT 'デフォルト値';

プライマリーキー設定

ALTER TABLE テーブル名 ADD PRIMARY KEY (フィールド名);

外部キー制約設定

ALTER TABLE テーブル名
ADD FOREIGN KEY (外部キー列)
REFERENCES 参照先テーブル (主キー列);

ユーザー・権限管理

ユーザー作成

CREATE USER 'ユーザー名'@'localhost';

現在のユーザー確認

SELECT USER();

パスワード設定・変更

ALTER USER 'ユーザー名'@'localhost'
IDENTIFIED BY '新しいパスワード';

権限付与

GRANT 権限 ON データベース名.* TO 'ユーザー名'@'localhost';

主要権限一覧

権限名対象できること実務での主な用途危険度
SELECTデータデータ参照のみ参照専用、分析、レポート
INSERTデータレコード追加登録処理、ログ保存
UPDATEデータレコード更新ステータス・数量更新
DELETEデータレコード削除物理削除が必要な処理
CREATE構造テーブル作成開発作業
DROP構造テーブル削除管理作業非常に高
ALTER構造テーブル定義変更カラム追加・変更非常に高
INDEX構造インデックス作成・削除パフォーマンス調整
REFERENCES構造外部キー制約作成リレーション設計
ALL / ALL PRIVILEGES全体そのスコープ内の全権限管理者・開発環境非常に高
GRANT OPTION権限権限を他人に付与DBA非常に高

データ操作

レコード追加

INSERT INTO テーブル名 (フィールド1, フィールド2)
VALUES ('データ1', 'データ2');

レコード追加(全カラム指定)

INSERT INTO テーブル名 VALUES ('データ1', 'データ2');

レコード更新

UPDATE テーブル名
SET 更新方法1
WHERE 条件;

レコード削除

DELETE FROM テーブル名 WHERE 条件;

SELECT文(検索)

全件取得

SELECT * FROM テーブル名;

重複除外

SELECT DISTINCT フィールド名 FROM テーブル名;

条件付き検索

SELECT フィールド名
FROM テーブル名
WHERE フィールド名 比較演算子 '条件'
AND / OR / NOT フィールド名 比較演算子 '条件';

主要な比較演算子一覧

演算子意味使用例実務での主な用途
=等しいage = 30完全一致検索(ID、コードなど)
!=<>等しくないstatus != '削除'特定値を除外
>より大きいscore > 80閾値超過の判定
<より小さいprice < 1000上限チェック
>=以上created_at >= '2025-01-01'開始日以降
<=以下pdate <= CURDATE()今日以前など
BETWEEN範囲指定(含む)age BETWEEN 20 AND 29年齢・期間指定
INいずれかに一致status IN ('未処理','保留')OR条件の簡略化
NOT INいずれにも一致しないid NOT IN (1,2,3)除外リスト
LIKE部分一致name LIKE '%山田%'あいまい検索
NOT LIKE部分一致しないname NOT LIKE '%テスト%'不要データ除外
IS NULLNULL判定deleted_at IS NULL未設定データ抽出
IS NOT NULLNULLでないmemo IS NOT NULL入力済み判定
EXISTS存在確認EXISTS (SELECT 1 …)サブクエリ存在チェック
NOT EXISTS存在しないNOT EXISTS (SELECT 1 …)未対応データ抽出

よく一緒に使う論理演算子

演算子意味使用例
AND両方満たすage >= 20 AND age < 30
ORどちらか満たすrole = 'admin' OR role = 'user'
NOT否定NOT status = '削除'

並び替え

SELECT フィールド名
FROM テーブル名
ORDER BY フィールド名 ASC / DESC;

件数制限

SELECT フィールド名
FROM テーブル名
ORDER BY フィールド名
LIMIT 件数;

集計・グループ化

GROUP BY + 集計関数

SELECT フィールド名, 集計関数
FROM テーブル名
GROUP BY フィールド名;

主要な集計関数一覧

集計関数意味使用例実務での主な用途
COUNT(*)行数を数える(NULL含む)COUNT(*)件数集計、レコード数確認
COUNT(フィールド)NULLを除いた件数COUNT(score)入力済み件数の把握
SUM(フィールド)合計値SUM(amount)売上合計、数量合計
AVG(フィールド)平均値AVG(score)平均点、平均金額
MIN(フィールド)最小値MIN(price)最安値、最古日付
MAX(フィールド)最大値MAX(price)最高値、最新日付

別名(エイリアス)

SELECT フィールド名 AS 別名
FROM テーブル名;

JOIN(結合)

内部結合(INNER JOIN)

SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
INNER JOIN テーブル2 AS t2
ON 条件2

外部結合(LEFT / RIGHT JOIN)

SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
LEFT / RIGHT OUTER JOIN テーブル2 AS t2
ON 条件;

完全外部結合(FULL OUTER JOIN)

MySQLでは FULL OUTER JOIN は未対応

SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
FULL OUTER JOIN テーブル2 AS t2
ON 条件;

MySQLでの代替方法(UNION)

SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
LEFT JOIN テーブル2 AS t2
ON 条件
UNION
SELECT t1.フィールド, t2.フィールド
FROM テーブル1 AS t1
RIGHT JOIN テーブル2 AS t2
ON 条件;

※ UNION は重複行を除外する。重複を許可したい場合は UNION ALL を使用する。
※ WHERE 句で結合先テーブルの条件を指定すると、外部結合の意味が失われることがあるため注意。

インデックス

インデックス作成

CREATE INDEX インデックス名 ON テーブル名 (フィールド名);

インデックス削除

DROP INDEX インデックス名 ON テーブル名;

インデックスの利用状況確認

EXPLAIN SELECT 文;

トランザクション

トランザクション開始

BEGIN;

確定

COMMIT;

取り消し

ROLLBACK;

SQLファイルの実行(データ展開)

SOURCE ファイルパス;
  1. フィールド名 = フィールド名 + 1 など ↩︎
  2. t1.フィールド = t2.フィールド など ↩︎
]]> https://cybermemo.blog/mysql-sql-cheatsheet/feed 0 Nmapでポートスキャンをしてみる https://cybermemo.blog/nmap-port-scan https://cybermemo.blog/nmap-port-scan#respond Sun, 26 Oct 2025 07:50:12 +0000 https://cybermemo.blog/?p=540

はじめに Nmapで実際にポートスキャンをしてみた。検証環境は TryHackMe の Nmap ルーム。 本記事の内容は教育目的のみに記載しています。実環境での悪用は犯罪行為です。必ず許可された演習環境でのみ実践してく […]]]>

はじめに

Nmapで実際にポートスキャンをしてみた。
検証環境は TryHackMe の Nmap ルーム。

TryHackMe
Nmap An in depth look at scanning with Nmap, a powerful network scanning tool.

本記事の内容は教育目的のみに記載しています。実環境での悪用は犯罪行為です。必ず許可された演習環境でのみ実践してください。

TCPスキャン

使用頻度上位 100 ポートのみ(–top-ports 100)、スキャン中の詳細を表示(-vv)、pingをスキップ(-Pn)して
TCPスキャン(-sT)。

$ sudo nmap -sT --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-23 23:57 JST
Initiating Parallel DNS resolution of 1 host. at 23:57
Completed Parallel DNS resolution of 1 host. at 23:57, 0.00s elapsed
Initiating Connect Scan at 23:57
Scanning target ip [100 ports]
Discovered open port 3389/tcp on target ip
Discovered open port 135/tcp on target ip
Discovered open port 80/tcp on target ip
Discovered open port 21/tcp on target ip
Discovered open port 53/tcp on target ip
Completed Connect Scan at 23:57, 7.02s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.37s latency).
Scanned at 2025-10-23 23:57:10 JST for 7s
Not shown: 95 filtered tcp ports (no-response)
PORT     STATE SERVICE       REASON
21/tcp   open  ftp           syn-ack
53/tcp   open  domain        syn-ack
80/tcp   open  http          syn-ack
135/tcp  open  msrpc         syn-ack
3389/tcp open  ms-wbt-server syn-ack

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 7.03 seconds

tshark でログを取っていたので確認してみる。

# tshark の結果を sT_result.txt へ出力
$ sudo tshark -i tun0 > sT_result.txt 
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
237 ^C
# cat で全体のログを確認
$ cat sT_result.txt             
    1 0.000000000   host ip → target ip TCP 60 34450 → 111 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    2 0.000013296   host ip → target ip TCP 60 47774 → 113 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    3 0.000018708   host ip → target ip TCP 60 38474 → 135 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    4 0.000025294   host ip → target ip TCP 60 55670 → 5900 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    5 0.000030624   host ip → target ip TCP 60 46124 → 25 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    6 0.000035786   host ip → target ip TCP 60 59490 → 554 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    7 0.000041544   host ip → target ip TCP 60 38960 → 3306 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    8 0.000048233   host ip → target ip TCP 60 57882 → 110 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
    9 0.000052118   host ip → target ip TCP 60 42396 → 3389 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
   10 0.000059820   host ip → target ip TCP 60 37896 → 8888 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245774735 TSecr=0 WS=128
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   12 0.377390839   host ip → target ip TCP 40 38474 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   13 0.378715797   host ip → target ip TCP 40 38474 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   14 0.378932212   host ip → target ip TCP 60 47616 → 23 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775114 TSecr=0 WS=128
   15 0.378957703   host ip → target ip TCP 60 43838 → 995 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775114 TSecr=0 WS=128
   16 1.027607473   host ip → target ip TCP 60 [TCP Retransmission] 37896 → 8888 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245775763 TSecr=0 WS=128
(省略)

ログを絞って確認。

# SYN 以外のログで絞ってみる
$ cat sT_result.txt | grep -v -F "[SYN]"
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   12 0.377390839   host ip → target ip TCP 40 38474 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   13 0.378715797   host ip → target ip TCP 40 38474 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   28 2.268681269 target ip → host ip   TCP 52 135 → 38490 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   29 2.268724628   host ip → target ip TCP 40 38490 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   30 2.268783378   host ip → target ip TCP 40 38490 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   62 3.272698420   host ip → target ip TCP 40 43260 → 21 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   63 3.273334678 target ip → host ip   TCP 52 53 → 58022 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   64 3.273357934   host ip → target ip TCP 40 58022 → 53 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   65 3.273693028   host ip → target ip TCP 40 43260 → 21 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   66 3.274013386   host ip → target ip TCP 40 58022 → 53 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   77 3.274796974 target ip → host ip   TCP 52 80 → 49068 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   78 3.274865411   host ip → target ip TCP 40 49068 → 80 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   79 3.274951087   host ip → target ip TCP 40 49068 → 80 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
   84 3.387604406 target ip → host ip   TCP 52 3389 → 42396 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
   85 3.387628199   host ip → target ip TCP 40 42396 → 3389 [RST] Seq=1 Win=0 Len=0
  150 4.998246831 target ip → host ip   TCP 52 135 → 38502 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  151 4.998329872   host ip → target ip TCP 40 38502 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
  152 4.998587904   host ip → target ip TCP 40 38502 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0
  232 6.277318520 target ip → host ip   TCP 52 3389 → 42398 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  233 6.277337412   host ip → target ip TCP 40 42398 → 3389 [RST] Seq=1 Win=0 Len=0
  235 6.857444881 target ip → host ip   TCP 52 135 → 38504 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  236 6.857524021   host ip → target ip TCP 40 38504 → 135 [ACK] Seq=1 Ack=1 Win=64256 Len=0
  237 6.858089282   host ip → target ip TCP 40 38504 → 135 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0

# SYN/ACK(open)で絞ってみる
$ cat sT_result.txt | grep -F "[SYN, ACK]"
   11 0.377319586 target ip → host ip   TCP 52 135 → 38474 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   28 2.268681269 target ip → host ip   TCP 52 135 → 38490 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   63 3.273334678 target ip → host ip   TCP 52 53 → 58022 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   77 3.274796974 target ip → host ip   TCP 52 80 → 49068 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   84 3.387604406 target ip → host ip   TCP 52 3389 → 42396 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  150 4.998246831 target ip → host ip   TCP 52 135 → 38502 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
  232 6.277318520 target ip → host ip   TCP 52 3389 → 42398 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288 WS=1 SACK_PERM
  235 6.857444881 target ip → host ip   TCP 52 135 → 38504 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM

# openポートの確認
$ cat sT_result.txt | grep -F "[SYN, ACK]" | awk '{print $8}' | sort -n -u
21
53
80
135
3389

SYN/ACK を返しているポートが open と判定されており、nmap のスキャン結果と tshark のログが一致していることが確認できた。

最後に、awk を使って TCP ハンドシェイク(SYN → SYN/ACK → ACK)が実際に成立しているかを確認してみる。

$ awk '    
  # 行中の「<num> → <num>」を1組だけ抜き出す
  match($0, /[[:space:]]([0-9]+)[[:space:]]*→[[:space:]]*([0-9]+)[[:space:]]/, m) {
    if (m[1]==21 || m[2]==21) print  
  }      
' sT_result.txt
   52 2.896504834   host ip → target ip TCP 60 43260 → 21 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM TSval=245777632 TSecr=0 WS=128
   61 3.272603426 target ip → host ip   TCP 52 21 → 43260 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1288 WS=256 SACK_PERM
   62 3.272698420   host ip → target ip TCP 40 43260 → 21 [ACK] Seq=1 Ack=1 Win=64256 Len=0
   65 3.273693028   host ip → target ip TCP 40 43260 → 21 [RST, ACK] Seq=1 Ack=1 Win=64256 Len=0

TCP ハンドシェイクが成立していることが分かる。

SYNスキャン(ハーフオープンスキャン)

使用頻度上位 100 ポートのみ(–top-ports 100)、スキャン中の詳細を表示(-vv)、pingをスキップ(-Pn)して
SYNスキャン(-sS)。

$ sudo nmap -sS --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 13:06 JST
Initiating Parallel DNS resolution of 1 host. at 13:06
Completed Parallel DNS resolution of 1 host. at 13:06, 0.00s elapsed
Initiating SYN Stealth Scan at 13:06
Scanning target ip [100 ports]
Discovered open port 80/tcp on target ip
Discovered open port 21/tcp on target ip
Discovered open port 3389/tcp on target ip
Discovered open port 135/tcp on target ip
Discovered open port 53/tcp on target ip
Completed SYN Stealth Scan at 13:06, 6.14s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.34s latency).
Scanned at 2025-10-26 13:06:36 JST for 7s
Not shown: 95 filtered tcp ports (no-response)
PORT     STATE SERVICE       REASON
21/tcp   open  ftp           syn-ack ttl 124
53/tcp   open  domain        syn-ack ttl 124
80/tcp   open  http          syn-ack ttl 124
135/tcp  open  msrpc         syn-ack ttl 124
3389/tcp open  ms-wbt-server syn-ack ttl 124

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 6.20 seconds
           Raw packets sent: 197 (8.668KB) | Rcvd: 7 (308B)

今度は pcap でログを取ってみる。

$ sudo tshark -i tun0 -w /tmp/Ss_result.pcap                                 
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
211 ^C
# tshark で全体のログを確認
$ sudo tshark -r Ss_result.pcap                     
Running as user "root" and group "root". This could be dangerous.
    1 0.000000000   host ip → target ip TCP 44 63626 → 993 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    2 0.000010601   host ip → target ip TCP 44 63626 → 445 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    3 0.000011875   host ip → target ip TCP 44 63626 → 110 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    4 0.000012902   host ip → target ip TCP 44 63626 → 23 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    5 0.000013856   host ip → target ip TCP 44 63626 → 111 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    6 0.000014615   host ip → target ip TCP 44 63626 → 80 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    7 0.000015329   host ip → target ip TCP 44 63626 → 3389 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    8 0.000016047   host ip → target ip TCP 44 63626 → 113 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
    9 0.000016757   host ip → target ip TCP 44 63626 → 21 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   10 0.000017461   host ip → target ip TCP 44 63626 → 587 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   11 0.338039856 target ip → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   12 0.338076236   host ip → target ip TCP 40 63626 → 80 [RST] Seq=1 Win=0 Len=0
   13 0.338747181 target ip → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0
   15 0.339557912 target ip → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   16 0.339571791   host ip → target ip TCP 40 63626 → 3389 [RST] Seq=1 Win=0 Len=0
(省略)

ログを絞って確認。

# SYN 以外のログで絞ってみる
$ sudo tshark -r sS_result.pcap -Y "not (tcp.flags.syn==1 && tcp.flags.ack==0)"
Running as user "root" and group "root". This could be dangerous.
   11 0.338039856 target ip8 → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   12 0.338076236   host ip → target ip8 TCP 40 63626 → 80 [RST] Seq=1 Win=0 Len=0
   13 0.338747181 target ip8 → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip8 TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0
   15 0.339557912 target ip8 → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   16 0.339571791   host ip → target ip8 TCP 40 63626 → 3389 [RST] Seq=1 Win=0 Len=0
   23 0.677269837 target ip8 → host ip   TCP 44 135 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   24 0.677332313   host ip → target ip8 TCP 40 63626 → 135 [RST] Seq=1 Win=0 Len=0
   55 3.165016037 target ip8 → host ip   TCP 44 53 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   56 3.165076706   host ip → target ip8 TCP 40 63626 → 53 [RST] Seq=1 Win=0 Len=0
   57 3.165703655 target ip8 → host ip   TCP 44 80 → 63631 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   58 3.165753573   host ip → target ip8 TCP 40 63631 → 80 [RST] Seq=1 Win=0 Len=0
  173 4.863356730 target ip8 → host ip   TCP 44 80 → 63633 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
  174 4.863426175   host ip → target ip8 TCP 40 63633 → 80 [RST] Seq=1 Win=0 Len=0

# SYN/ACK(open)で絞ってみる
$ sudo tshark -r sS_result.pcap -Y "tcp.flags.syn==1 && tcp.flags.ack==1"
Running as user "root" and group "root". This could be dangerous.
   11 0.338039856 target ip8 → host ip   TCP 44 80 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   13 0.338747181 target ip8 → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   15 0.339557912 target ip8 → host ip   TCP 44 3389 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64000 Len=0 MSS=1288
   23 0.677269837 target ip8 → host ip   TCP 44 135 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   55 3.165016037 target ip8 → host ip   TCP 44 53 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   57 3.165703655 target ip8 → host ip   TCP 44 80 → 63631 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
  173 4.863356730 target ip8 → host ip   TCP 44 80 → 63633 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288

# openポートの確認
$ sudo tshark -r sS_result.pcap -Y "tcp.flags.syn==1 && tcp.flags.ack==1" -T fields -e tcp.srcport | sort -n -u
Running as user "root" and group "root". This could be dangerous.
21
53
80
135
3389

SYN/ACK を返しているポートが open になっているので、nmap の結果と tshark のログは一致している。

ハーフオープンスキャン(SYN→SYN/ACK→RST)を本当にしているか確認してみる。

$ sudo tshark -r sS_result.pcap -Y "tcp.port == 21"                            
Running as user "root" and group "root". This could be dangerous.
    9 0.000016757   host ip → target ip TCP 44 63626 → 21 [SYN] Seq=0 Win=1024 Len=0 MSS=1460
   13 0.338747181 target ip → host ip   TCP 44 21 → 63626 [SYN, ACK] Seq=0 Ack=1 Win=64400 Len=0 MSS=1288
   14 0.338809373   host ip → target ip TCP 40 63626 → 21 [RST] Seq=1 Win=0 Len=0

SYN/ACK に対して RST で切断しているため、ハーフオープンスキャンの挙動。

UDPスキャン

使用頻度上位 100 ポートのみ(–top-ports 100)、スキャン中の詳細を表示(-vv)、pingをスキップ(-Pn)して
UDPスキャン(-sU)。

$ sudo nmap -sU --top-ports 100 -vv -Pn target ip

openポートを発見。

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:03 JST
Initiating Parallel DNS resolution of 1 host. at 14:03
Completed Parallel DNS resolution of 1 host. at 14:03, 0.00s elapsed
Initiating UDP Scan at 14:03
Scanning target ip [100 ports]
Discovered open port 53/udp on target ip
Completed UDP Scan at 14:03, 12.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set (0.36s latency).
Scanned at 2025-10-26 14:03:17 JST for 11s
Not shown: 99 open|filtered udp ports (no-response)
PORT   STATE SERVICE REASON
53/udp open  domain  udp-response ttl 124

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 12.15 seconds
           Raw packets sent: 261 (16.044KB) | Rcvd: 4 (262B)

pcap でログを取ってみる。

$ sudo tshark -i tun0 -w /tmp/sU_result.pcap                                            
Running as user "root" and group "root". This could be dangerous.
Capturing on 'tun0'
273 ^C

今回は Wireshar でログを確認してみる。

$ sudo wireshark sU_result.pcap

ip.src == target ip で応答のあったものだけ絞る。

ip.src == target ip && not icmp
Wireshark UDPスキャンの画像

DNS のみ表示されたので、nmap の結果と一致。

特殊スキャン(NULL/FIN/Xmas)

検証環境でopenポートが見つからなかったので、今回はフラグだけ確認。

NULLスキャン

# NULLスキャン
$ sudo nmap -sN --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:57 JST
Initiating Parallel DNS resolution of 1 host. at 14:57
Completed Parallel DNS resolution of 1 host. at 14:57, 0.00s elapsed
Initiating NULL Scan at 14:57
Scanning target ip [100 ports]
Completed NULL Scan at 14:57, 21.11s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:57:12 JST for 22s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.15 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

フラグはすべて0。

Wireshark NULLスキャンのフラグ画像

FINスキャン

# FINスキャン
$ sudo nmap -sF --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:52 JST
Initiating Parallel DNS resolution of 1 host. at 14:52
Completed Parallel DNS resolution of 1 host. at 14:52, 0.00s elapsed
Initiating FIN Scan at 14:52
Scanning target ip [100 ports]
Completed FIN Scan at 14:52, 21.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:52:08 JST for 21s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.18 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

FIN = 1。

Wireshark FINスキャンのフラグ画像

Xmasスキャン

# Xmasスキャン
$ sudo nmap -sX --top-ports 100 -vv -Pn target ip

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-26 14:52 JST
Initiating Parallel DNS resolution of 1 host. at 14:52
Completed Parallel DNS resolution of 1 host. at 14:52, 0.01s elapsed
Initiating XMAS Scan at 14:52
Scanning target ip [100 ports]
Completed XMAS Scan at 14:53, 21.09s elapsed (100 total ports)
Nmap scan report for target ip
Host is up, received user-set.
Scanned at 2025-10-26 14:52:53 JST for 21s
All 100 scanned ports on target ip are in ignored states.
Not shown: 100 open|filtered tcp ports (no-response)

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 21.16 seconds
           Raw packets sent: 200 (8.000KB) | Rcvd: 0 (0B)

FIN = 1、PSH = 1、URG = 1。

Wireshark Xmasスキャンのフラグ画像

おまけ

UDPスキャンでホストIPとターゲットIP以外に 239.255.255.250(SSDP1用マルチキャストアドレス)への通信を発見。

Wireshark 239.255.255.250充ての画像

nmapはスキャン中に「このネットワーク内にUPnP2デバイスがいるか?」を自動的にチェックすることがあり、その時にこの宛先へ M-SEARCH * HTTP/1.1 パケットを送信するそう。

  1. 家庭内ネットワークなどで機器同士が自動的に見つけ合うための通信プロトコル。UPnPの一部として定義されており、主にUDPの1900番ポートを使う。 ↩︎
  2. Universal Plug and Play。家庭やオフィス内のネットワーク機器が自動的に見つけ合い、設定なしで通信できるようにする仕組み。 ↩︎
]]> https://cybermemo.blog/nmap-port-scan/feed 0 Nmapの基礎 https://cybermemo.blog/nmap-basics https://cybermemo.blog/nmap-basics#respond Sun, 26 Oct 2025 07:05:12 +0000 https://cybermemo.blog/?p=526

Nmapとは Nmap(Network Mapper)は、ネットワーク上の機器やサービスを調べるための最もポピュラーなツール。IPアドレスの“生死確認(ホストが生きているか)”から、どのポートでどんなサービスが動いている […]]]>

Nmapとは

Nmap(Network Mapper)は、ネットワーク上の機器やサービスを調べるための最もポピュラーなツール。IPアドレスの“生死確認(ホストが生きているか)”から、どのポートでどんなサービスが動いているか、さらに一部の脆弱性の有無まで発見できる。

スキャンの種類

実際にスキャンを実行した記事はこちら。

セキュリティエンジニアの雑多ブロ…
Nmapでポートスキャンをしてみる | セキュリティエンジニアの雑多ブログ はじめに Nmapで実際にポートスキャンをしてみた。検証環境は TryHackMe の Nmap ルーム。 本記事の内容は教育目的のみに記載しています。実環境での悪用は犯罪行為です。…

TCPスキャン

何をするか:TCP接続(SYN→SYN/ACK→ACK)を完了させる。
返ってくるもの:SYN/ACK(open)/RST(closed)/無応答(filtered)。
長所:確実で簡単(OS 標準の接続なので結果は信頼できる)。
短所:ログに残りやすく検出されやすい。
オプション:-sT

SYNスキャン

何をするか:SYNを送り、SYN/ACKを受けたら自分はRSTで接続を切る(3ウェイを完了させない)。
返ってくるもの:SYN/ACK(open)、RST(closed)、無応答(filtered)。
長所:早くてステルス寄り(ログに残りにくい)。多くの場合デフォルトで使われる。
短所:root権限が必要。IDSに検出される可能性はある。
オプション:-sS

UDPスキャン

何をするか:UDPパケットを送って応答(ICMP unreachable や UDP 応答)を待つ。
返ってくるもの:UDP応答(open|filtered判定)、ICMP Port Unreachable(closed)、無応答(open|filtered)。
長所:TCP以外のサービス(DNS, SNMP 等)を見つけられる。
短所:遅い(再送や ICMP 制限のため)、ファイアウォールやICMPレート制限で誤判定しやすい。
オプション:-sU

NULLスキャン

何をするか:TCPフラグをすべて 0 にしたパケットを送る(SYN/ACK/FIN/… いずれも 0)。
返ってくるもの(一般):
Linux/UNIX系:何も返さない(open)かRSTで返す(closed)など実装差がある。
Windows系:通常すべてのポートで RST を返す(これだと区別つかない)。
長所:一部のOSでステルスに振る舞う。
短所:実装依存で結果が解釈しづらい。ファイアウォールで無効化されることが多い。
オプション:-sN

FINスキャン

何をするか:TCPの FIN フラグのみを立てたパケットを送る。
返ってくるもの:TCP 実装により、閉じているポートは RST を返し、開いているポートは無応答(特定OSでは)→ これで判別する。
長所:一部の環境で検出されにくい。
短所:Windows系は常に RST を返すため無意味。ファイアウォールでドロップされると判別不能。
オプション:-sF

Xmasスキャン

何をするか:TCPの FIN, PSH, URG フラグを同時に立てた「派手な」パケットを送る(ツリーが光るから Xmas)。
返ってくるもの:FIN と同様、ある実装では無応答=open、RST=closed。
長所:NULL/FIN と同じく、一部OSでステルスに有効。
短所:同じく実装依存で不確実。Windowsでは通用しないことが多い。
オプション:-sX

ICMPスキャン

何をするか:ICMP Echo Request(ping)や他のICMP型を使ってホストがオンラインかを調べる。
返ってくるもの:Echo Reply(Up)/無応答(Down or filtered)/ICMP unreachable(到達不可)など。
長所:ホストの存在確認が速く簡単。
短所:多くのホストやファイアウォールがICMPをブロックするため誤判定が起きやすい。ARP ping はローカルで有効。
オプション:-sn -PE(ICMP echo)、–disable-arp-ping 等で挙動調整

TCPフラグ

フラグ、ビット、フラグの意味を記載。
ビット(値)は tshark のフィルターとかで結構使う。

ビット(値)フラグ意味
0 (0x01)FINコネクション終了
1 (0x02)SYNコネクション開始要求
2 (0x04)RSTリセット(接続拒否/異常終了)
3 (0x08)PSH受信側にデータを即座に渡す(push)
4 (0x10)ACK応答番号を有効にする(確認応答)
5 (0x20)URG緊急ポインタ有効(ほぼ使われない)
6 (0x40)ECEECN related(輻輳制御)
7 (0x80)CWRECN related(輻輳制御)

視覚的ビット列図(よく見る組み合わせ)

フラグビット
FIN0000 00010x01
SYN0000 00100x02
RST0000 01000x04
PSH0000 10000x08
ACK0001 00000x10
URG0010 00000x20
ECE0100 00000x40
CWR1000 00000x80
SYN+ACK0001 00100x12
FIN+ACK0001 00010x11
SYN only0000 00100x02
RST only 0000 01000x04
Xmas scan (FIN+PSH+URG)0000 1001 + 0000 0001
+ 0010 0000 = 0010 1001		0x29
NULL scan0000 00000x00

代表的なオプション

オプション何をするか(短く)使い方の例備考
-sSSYNスキャンsudo nmap -sS -p1-1000 10.0.0.5速くて一般的。root権限推奨。
-sTTCPスキャンnmap -sT -p22,80 10.0.0.5root不要だがログに残りやすい。
-sUUDPスキャンsudo nmap -sU --top-ports 20 10.0.0.5非常に遅い。--top-ports 推奨。
-pポート指定(単一/範囲/複数)-p80,443 -p1-65535明示的にポートを限定。
-Pnホスト発見をスキップ(ping無視)sudo nmap -sS -p1-1000 -Pn 10.0.0.5Pingがブロックされた環境で必須。
-snホスト発見のみ(ポートスキャンしない)sudo nmap -sn 10.0.0.0/24ping sweep 用。
-sVサービス/バージョン検出sudo nmap -sS -sV -p80,22 10.0.0.5サービス名・バージョン推定。
-OOS 推定sudo nmap -O 10.0.0.5root権限が必要な場合あり。誤判定もある。
-A総合検出(sV + O + script 等)sudo nmap -A 10.0.0.5強力だが騒がしい(検出されやすい)。
--scriptNSE スクリプト実行sudo nmap --script=vuln -p445 10.0.0.5カテゴリ指定や複数指定が可能。
--script-argsスクリプトへ引数を渡す--script http-put --script-args http-put.url='/dav',http-put.file=./fスクリプト固有の引数。
-oN / -oG / -oX / -oA出力保存(通常/Grep/XML/全形式)-oA scan1-oA で N,G,X を一括出力。
-v / -vv冗長(詳細)出力sudo nmap -sS -p1-1000 -Pn -vv 10.0.0.5進捗や reason が見やすくなる。
--reason各判定の理由を表示sudo nmap --reason -p80 10.0.0.5no-response / syn-ack 等を表示。
-T0-T5タイミングテンプレート(速度)-T4(速め)高速ほどノイズ大・検出されやすい。
--stats-every定期的な進捗表示--stats-every 10s長時間スキャン時に便利。
-Ffast(/etc/services に基づく上位ポート)sudo nmap -F 10.0.0.5手早くスキャンしたいとき。
--top-ports使用頻度上位 N ポートのみsudo nmap --top-ports 100 10.0.0.5UDPスキャン時に特に有用。
--openopen のポートだけ表示sudo nmap -sS -p1-1000 --open 10.0.0.5出力ノイズを減らす。
-sN / -sF / -sXNULL / FIN / Xmas スキャンsudo nmap -sN -p1-1000 10.0.0.5OS依存(Windowsでは効果薄)。
-6IPv6 スキャンsudo nmap -6 -sS -p80 fd00::1IPv6 ネットワーク用。
-oG -grep しやすい stdout 出力sudo nmap -oG - -p1-1000 10.0.0.5パイプで grep に加工しやすい。

最後に

色々まとめたけど リファレンスガイド を見るのが正確で早い。

]]> https://cybermemo.blog/nmap-basics/feed 0 初心者向けawkコマンドの使い方 https://cybermemo.blog/awk-beginner-guide https://cybermemo.blog/awk-beginner-guide#respond Sun, 12 Oct 2025 15:07:28 +0000 https://cybermemo.blog/?p=465

awkコマンドとは awk(オーク)はテキストを1行ずつ読みながら、1行をくつかの列(フィールド)に分けて読む・抜き出す・加工するためのコマンド。たとえば、ログの「3列目だけ取りたい」時にawkが便利。 awkの基本構文 […]]]>

awkコマンドとは

awk(オーク)はテキストを1行ずつ読みながら、1行をくつかの列(フィールド)に分けて読む・抜き出す・加工するためのコマンド。
たとえば、ログの「3列目だけ取りたい」時にawkが便利。

awkの基本構文

awk の基本構文は以下。

awk 'パターン { アクション }' ファイル名

パターン=どんな行を選ぶか
アクション=その行で何をするか

ざっくり言うと 「ファイルの中で、〇〇な行があったら、△△をする」。

awkの基本をサンプルから覚える

サンプル

サンプルとして使用するファイルの内容。
各行は「名前・年齢・都市・職業」の4つのフィールドで構成されている。

# sample.txt
Alice   25  Tokyo     Engineer
Bob     30  Osaka     Manager
Charlie 28  Nagoya    Designer
David   35  Fukuoka   Engineer
Eve     22  Tokyo     Intern

サンプルファイルの分解

タブやスペースごとに awk が自動で以下表のように読み込んでくれる。

フィールド番号内容(意味)awkで書くと
$1名前(Name)Alice
$2年齢(Age)25
$3都市(City)Tokyo
$4職業(Job)Engineer

実際に動かしてみる

行全体を表示

print で出力し、$0 でその行全体(すべてのフィールド)を指定。

$ awk '{print $0}' sample.txt

ファイル全体を見たいなら cat でいい気がするので、実務では使わないかも。

# sample.txt
Alice   25  Tokyo     Engineer
Bob     30  Osaka     Manager
Charlie 28  Nagoya    Designer
David   35  Fukuoka   Engineer
Eve     22  Tokyo     Intern

1列目(名前)だけ表示

$1 で名前フィールドを出力。

$ awk '{print $1}' sample.txt

これだけだとコメント(#)まで出力されてしまうので、実務ではもう少し条件を絞った方がよさそう。

#
Alice
Bob
Charlie
David
Eve

コメント(#)を除外

! = ~でない、/文字列/ = 正規表現の始まりと終わりを示す囲み記号、^ = 先頭行 の意味。
先頭行がコメント(#)でない名前フィールドを出力。

$ awk '!/^#/ {print $1}' sample.txt

コメント(#)が除外され、名前のフィールドだけが出力される。

Alice
Bob
Charlie
David
Eve

名前と都市を表示

$1 で名前フィールド、$3 で都市フィールドを指定。

$ awk '{print $1, $3}' sample.txt

それぞれのフィールドが正しく抽出されている。

# 
Alice Tokyo
Bob Osaka
Charlie Nagoya
David Fukuoka
Eve Tokyo

Tokyo に住んでいる人だけ表示

$3 を == で Tokyo 指定。

$ awk '$3 == "Tokyo" {print $0}' sample.txt

Tokyo に住んでいる人だけが抽出される。

Alice   25  Tokyo     Engineer
Eve     22  Tokyo     Intern

年齢が30歳以上の人だけ表示

$2 >= 30 で指定。ついでにコメントも && でつなげて除外しておく。

$ awk '!/^#/ && $2 >= 30 {print $1, $2}' sample.txt

30歳以上の人だけが抽出される。

Bob 30
David 35

Engineerの人数を数える

$4 == “Engineer” で エンジニアを指定、{count++} で条件が真なら count を 1 増やす、END {print count} でファイルを全部読み終わったあとに出力。

$ awk '$4 == "Engineer" {count++} END {print count}' sample.txt

きちんとカウントされている。

2

平均年齢を計算

{sum += $2; count++} で 2 列目(年齢)の値を合計し、行数を 1 増やす。
END {print sum/count} でファイルをすべて読み終えたあとに平均を出力する。
※今回はカウント処理を行うため、コメント(#)のスキップが必須。

; は改行と同じ意味。

$ awk '!/^#/ {sum += $2; count++} END {print sum/count}' sample.txt

平均年齢が出力される。

28

このコマンドの動きは以下の通り。

$2(年齢)条件 !/^#/sumの値countの値
# sample.txtFalse00
Alice 25 Tokyo Engineer25True251
Bob 30 Osaka Manager30True552
Charlie 28 Nagoya Designer28True833
David 35 Fukuoka Engineer35True1184
Eve 22 Tokyo Intern22True1405

都市ごとの人数を集計

{city[$3]++} で 3 列目(都市名)をキーとしてカウントする。
END { … } はファイルをすべて読み終えたあとに 1 回だけ実行される処理。
for (c in city) ですべての都市(キー)を順に処理し、
print c, city[c] で都市名と人数を出力する。
※今回はカウントをしているのでコメントのスキップは必須。

$ awk '!/^#/ {city[$3]++} END {for (c in city) print c, city[c]}' sample.txt

都市ごとの人数が出力される。

Osaka 1
Fukuoka 1
Nagoya 1
Tokyo 2

このコマンドの動きは以下の通り。

$3(都市)条件 !/^#/city[$3] の動作city配列の内容(内部状態)
# sample.txtFalse実行されない(何もない)
Alice 25 Tokyo EngineerTokyoTruecity["Tokyo"]++ → 1Tokyo:1
Bob 30 Osaka ManagerOsakaTruecity["Osaka"]++ → 1Tokyo:1, Osaka:1
Charlie 28 Nagoya DesignerNagoyaTruecity["Nagoya"]++ → 1Tokyo:1, Osaka:1, Nagoya:1
David 35 Fukuoka EngineerFukuokaTruecity["Fukuoka"]++ → 1Tokyo:1, Osaka:1, Nagoya:1, Fukuoka:1
Eve 22 Tokyo InternTokyoTruecity["Tokyo"]++ → 2Tokyo:2, Osaka:1, Nagoya:1, Fukuoka:1

疑問に思ったこと

文章ベースのファイルにはawkコマンドは使えないのか

たとえば、

Aliceは東京で働いています。
Bobは大阪に住んでいます。
Charlieは28歳です。

という文章ファイルがあった場合、awk の使いどころがあるのか気になった。

awk の動きとしては「スペースやタブで明確に区切られていない」文章だと、

$1 Aliceは東京で働いています。
$1 Bobは大阪に住んでいます。
$1 Charlieは28歳です。

となり、すべて $1 になるのでフィールド分けができず、awk の長所は活かせない。

一応、grep のように抽出することは可能。

$ awk '/東京/ {print $0}' sample_text.txt
Aliceは東京で働いています。

$ awk '/[0-9]+歳/ {print $0}' sample_text.txt
Charlieは28歳です。

行番号を付けることもできる。

$ awk '{print NR, $0}' sample_text.txt
1 Aliceは東京で働いています。
2 Bobは大阪に住んでいます。
3 Charlieは28歳です。

結論としては、awk でも文章ファイルの操作はある程度できるけど、本来の用途とは離れており、わざわざ awk で文章ファイルを操作する必要はなさそう。

]]> https://cybermemo.blog/awk-beginner-guide/feed 0