log4j 1 升级方案

目标

解决重要安全漏洞 多项目日志监测改造（可选） 性能提升（可选） 功能扩展（可选）

升级要求

少修改代码 或 不修改代码 功能尽可能平替    
    
    
，而不发生基本功能变化 低学习成本

具体方案

完全平替的改造

方案特征 完全平替

没有额外的学习成本 


     


     


    ，没有其他的操作

 




 




 


，只需要将jar包完全替换掉 log4j 即可
    
    
    。

方案具体内容

组件：reload4j

reload4j 官网

maven

<!-- pom.xml --> <dependency> <groupId>ch.qos.reload4j</groupId> <artifactId>reload4j</artifactId> <version>1.2.22</version> </dependency>

reload4j 是 log4j 原作者 Ceki Gülcü 发起 是基于 log4j 版本 1.2.17 的分支   

   

   

，其主要目的是为了解决 log4j 1.2.17 中的漏洞     


     


     


。

reload4j 可以做到完全平替 log4j 




 




 




。

其中 log4j 1中 对安全性必要大影响的 CVE-2021-4104 CVE-2022-23302 已经在 reload4j 的 1.2.22 版本中修复

   

   

   。

有一定学习成本但不多（log4j1 升级到 log4j2）

方案特征 部分平替 有一定学习成本（log4j1 和 log4j2 的配置还是有一些不一样的） 扩展的额外功能对于项目维护与正常运行有更好的帮助（不是主要因素） 不支持 jdk1.5 及以下 （reload4j 支持 1.5） 方案具体介绍

英文方案

英文方案主要涉及到代码的改造  

     

     

   ，将原本的 log4j1 彻底改造成 log4j2      

     

     

。

或者我们使用下面的方式通过路由链接 log4j1 的api 完成准无代码迁移  




  




  




。

组件： log4j-api 日志接口; log4j-core 具体的实现; log4j-1.2-api log4j1 到 log4j2 的路由器


  




  




  

，在使用 log4j1 的 api 时会在内部路由到 log4j2 的 api


  


  


  。

log4j2 官网

log4j2-api maven

log4j2-core maven

log4j-1.2-api maven

log4j-1.2-api 使用方法（英文）

<!-- pom.xml --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-1.2-api</artifactId> <version>2.12.4</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.12.4</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.12.4</version> </dependency>

但无论如何几乎都无法替代以下几个类的内容缺失导致的代码变更     
     
     
。

org.apache.log4j.spi.ThrowableInformation

org.apache.log4j.spi.ErrorHandler

等等

改造的功能点更多的倾向于 log4j 中对异常消息处理  


  


  


，异常数据处理等功能   
     
     
  ，这部分功能在项目中尽可能不要使用



   




   




   
，从某些角度上来说 



 



 



，数据处理
    
    
    、消息处理这部分有专门的独立处理组件               ，日志组件就应该处理日志




    




    




    ，尤其尽可能异步打印到日志文件或日志流中   




   




   




。

翻天覆地的调整（通过 SLF4J / commons-logging 替换 现有的 日志配置）

方案特征 日志扩展性极佳



 



 



 。 日志性能极佳               。 日志模块化














，对其他模块几乎没有影响 日志管理更加多样化               ，选择更多    




    




    




。 方案具体介绍

找到所有用到 org.apache.log4j 的包



     



     



     ，调整代码使用过程即可














。

此处只介绍 SLF4J 和 logback

slf4j 使用手册

logback 使用手册

slf4j maven

logback maven

<!-- pom.xml --> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>2.0.3</version> </dependency> <dependency> <groupId>ch.qos.logback</groupId> <artifactId>logback-classic</artifactId> <version>1.4.4</version> </dependency> <!--logback.xml--> <?xml version="1.0" encoding="UTF-8"?> <configuration debug="false" scan="true" scanPeriod="1 seconds"> <contextName>logback</contextName> <property name="log.path" value="target/log/logback.log" /> <appender name="console" class="ch.qos.logback.core.ConsoleAppender"> <!-- <filter class="com.example.logback.filter.MyFilter" /> --> <filter class="ch.qos.logback.classic.filter.ThresholdFilter"> <level>debug</level> </filter> <encoder> <pattern>%d{HH:mm:ss.SSS} %contextName [%thread] %-5level %logger{36} - %msg%n </pattern> </encoder> </appender> <appender name="file" class="ch.qos.logback.core.rolling.RollingFileAppender"> <file>${log.path}</file> <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"> <fileNamePattern>${log.path}.%d{yyyy-MM-dd}.zip</fileNamePattern> </rollingPolicy> <encoder> <pattern>%date %level [%thread] %logger{36} [%file : %line] %msg%n </pattern> </encoder> </appender> <root level="debug"> <appender-ref ref="console" /> <appender-ref ref="file" /> </root> <logger name="org.apache" level="info" /> <logger name="com.gargoylesoftware" level="warn" /> <logger name="com.example.logback" level="warn" /> <!-- com.gargoylesoftware--> <!-- <logger name="com.gargoylesoftware" level="info" />--> </configuration>