log4j 1 升级方案

log4j 1 升级方案

目标

  1. 解决重要安全漏洞
  2. 多项目日志监测改造(可选)
  3. 性能提升(可选)
  4. 功能扩展(可选)

升级要求

  1. 少修改代码 或 不修改代码
  2. 功能尽可能平替,而不发生基本功能变化
  3. 低学习成本

具体方案

完全平替的改造

方案特征

  1. 完全平替

没有额外的学习成本,没有其他的操作,只需要将jar包完全替换掉 log4j 即可。

创新互联-专业网站定制、快速模板网站建设、高性价比射阳网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式射阳网站制作公司更省心,省钱,快速模板网站建设找我们,业务覆盖射阳地区。费用合理售后完善,十多年实体公司更值得信赖。

方案具体内容

组件:reload4j

reload4j 官网

maven



    ch.qos.reload4j
    reload4j
    1.2.22

reload4j 是 log4j 原作者 Ceki Gülcü 发起 是基于 log4j 版本 1.2.17 的分支,其主要目的是为了解决 log4j 1.2.17 中的漏洞。

reload4j 可以做到完全平替 log4j 。

其中 log4j 1中 对安全性必要大影响的 CVE-2021-4104 CVE-2022-23302 已经在 reload4j 的 1.2.22 版本中修复。

有一定学习成本但不多(log4j1 升级到 log4j2)

方案特征

  1. 部分平替
  2. 有一定学习成本(log4j1 和 log4j2 的配置还是有一些不一样的)
  3. 扩展的额外功能对于项目维护与正常运行有更好的帮助(不是主要因素)
  4. 不支持 jdk1.5 及以下 (reload4j 支持 1.5)

方案具体介绍

英文方案
英文方案主要涉及到代码的改造,将原本的 log4j1 彻底改造成 log4j2 。

或者我们使用下面的方式通过路由链接 log4j1 的api 完成准无代码迁移。

组件: log4j-api 日志接口; log4j-core 具体的实现; log4j-1.2-api log4j1 到 log4j2 的路由器,在使用 log4j1 的 api 时会在内部路由到 log4j2 的 api。

log4j2 官网

log4j2-api maven

log4j2-core maven

log4j-1.2-api maven

log4j-1.2-api 使用方法(英文)



    org.apache.logging.log4j
    log4j-1.2-api
    2.12.4


    org.apache.logging.log4j
    log4j-api
    2.12.4


    org.apache.logging.log4j
    log4j-core
    2.12.4

但无论如何几乎都无法替代以下几个类的内容缺失导致的代码变更。
org.apache.log4j.spi.ThrowableInformation
org.apache.log4j.spi.ErrorHandler
等等

改造的功能点更多的倾向于 log4j 中对异常消息处理,异常数据处理等功能,这部分功能在项目中尽可能不要使用,从某些角度上来说,数据处理、消息处理这部分有专门的独立处理组件,日志组件就应该处理日志,尤其尽可能异步打印到日志文件或日志流中。

翻天覆地的调整(通过 SLF4J / commons-logging 替换 现有的 日志配置)

方案特征

  1. 日志扩展性极佳。
  2. 日志性能极佳。
  3. 日志模块化,对其他模块几乎没有影响
  4. 日志管理更加多样化,选择更多。

方案具体介绍

找到所有用到 org.apache.log4j 的包,调整代码使用过程即可。

此处只介绍 SLF4J 和 logback

slf4j 使用手册

logback 使用手册

slf4j maven

logback maven



  org.slf4j
  slf4j-api
  2.0.3


  ch.qos.logback
  logback-classic
  1.4.4





    logback

    

    
        
        
            debug
        
        
            %d{HH:mm:ss.SSS} %contextName [%thread] %-5level %logger{36} - %msg%n
            
        
    

    
        ${log.path}
        
            ${log.path}.%d{yyyy-MM-dd}.zip
        

        
            %date %level [%thread] %logger{36} [%file : %line] %msg%n
            
        
    

    
        
        
    

    
    
    






本文名称:log4j 1 升级方案
转载来于:http://cdiso.cn/article/dsoiopp.html

其他资讯