从写代码开始，就陆陆续续接触到了许多日志框架，常用的Log4j 、Log4j2、 Logback等。每次自己写项目时，就copy别人的代码或网上的demo。配置log4j.properties或者logback.xml 就能搞定。但是一直没有理清各个框架之间的关系。然后总感觉打印日志的时候并不是随心所欲。特此简单分析分析。

事件背景

12月10日，看到朋友圈中已经有人在通宵修改、上线系统了。随即，又看到阿里云安全、腾讯安全部门发出的官方报告：”

据塔斯社12月14日报道，美国网络安全与基础设施安全局（CISA）已经命令所有的民用联邦机构在12月24日之前修补Log4j漏洞和其他三个漏洞，将其加入该组织的已知利用漏洞目录。

CISA为所有Log4j漏洞内容创建了一个登录页面，并与包括多家网络安全公司在内的联合网络防御合作组织一起提供见解。

CISA将Log4j漏洞与其他12个漏洞一起添加，其中4个漏洞的补救截止日期为12月24日，其余漏洞的补救截止日期为2022年6月10日。 预计将在圣诞节前修复的漏洞包括Zoho Corp.的桌面中央认证绕过漏洞、Fortinet FortiOS任意文件下载漏洞和Realtek Jungle SDK远程代码执行漏洞。

2021年12月9日，星云博创摘星实验室监测到网上Apache Log4j 的远程代码执行漏洞细节被公开，大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。该漏洞一旦被攻击者利用会造成严重危害。经过快速分析和确认，该漏洞影响范围极其广泛，危害极其严重，我们建议企业第一时间启动应急响应进行修复。

概述

Java日志框架SLF4J与Logback：让日志记录变得优雅又强大

在Java开发的世界里，日志记录是一个不可或缺的环节。它不仅是排查问题的重要工具，更是程序健壮性的一种体现。今天，我们就来聊聊两个非常流行的Java日志框架——SLF4J和Logback。它们就像是日志界的黄金搭档，帮助我们处理日志记录时游刃有余。

SLF4J与Logback：让Java日志记录变得简单优雅

在Java开发的世界里，日志记录是一项不可或缺的技术。它不仅帮助我们追踪程序运行的状态，还能在排查问题时提供重要的线索。今天，我们就来聊聊两个非常受欢迎的日志框架——SLF4J和Logback，以及如何将它们无缝整合在一起。

Apache 发布了另一个 Log4j 版本 2.17.1，修复了 2.17.0 中新发现的远程代码执行 (RCE) 漏洞，编号为 CVE-2021-44832。

在今天之前，2.17.0 是 Log4j 的最新版本，被认为是最安全的升级版本，但现在这个建议已经演变。

一个月内五次Log4j CVE

攻击者对原始Log4Shell 漏洞(CVE-2021-44228) 的大规模利用始于 12 月 9 日左右，当时 GitHub 上出现了针对该漏洞的PoC 漏洞利用。

Java程序员必备技能：玩转Logback与SLF4J日志框架

作为Java开发者，日志管理就像战场上的后勤保障，重要却容易被忽视。今天就让我们一起走进Logback与SLF4J的世界，揭开它们神秘的面纱，看看如何让日志记录变得既强大又优雅。

什么是日志框架？为何我们需要它？

　　阿帕奇软件基金会已经发布了包含积极的 利用影响广泛使用的基于Apache Log4j Java的日志库的零日漏洞，该漏洞可能被武器化以执行恶意代码，并允许完全接管易受攻击的系统。

　　跟踪为CVE-2021-44228这个问题涉及在任何使用开源实用程序的应用程序上未经身份验证的远程代码执行(RCE)的情况，并影响到Log4j 2.0-beta9到2.14.1的版本。该漏洞在CVSS评级系统中的得分为满分10分，这表明了问题的严重性。