Java日志框架：SLF4J与Logback，这对黄金搭档

在Java的世界里，日志记录是每个应用程序不可或缺的一部分。它不仅帮助我们追踪程序的执行流程，还能在遇到问题时快速定位错误。今天，我们就来聊聊两个在Java日志领域赫赫有名的伙伴——SLF4J和Logback。

Apache Log4j 2是日志框架Log4j的升级，它比其前身Log4j 1.x提供了重要的改进，并且参考了Logback中许多有用的改进，同时修复了Logback的一些固有问题。

本文介绍Log4j2的常用功能，给出一个完整的log4j2.xml配置文件，作为工作开发中常用的日志配置参考。

上一篇文章：

8

Java日志框架：SLF4J与Logback的完美结合

在Java的世界里，日志框架就像一位忠实的记录员，默默无闻地记录着程序运行的点点滴滴。其中，SLF4J和Logback这对CP可以说是日志界的黄金搭档。今天，我们就来聊聊它们是如何珠联璧合的，以及它们是如何帮我们记录下那些重要瞬间的。

首先登场的是SLF4J，全称Simple Logging Facade for Java。它就像是一个优雅的门童，站在各种日志实现之间，负责把所有的请求统一传递给后台。SLF4J并不直接处理日志输出，而是提供了一个通用的日志接口。这就像是一个统一的快递单，不管你要寄到哪个快递公司，都可以用这个单子。

据Gizmodo网站1月5日报道，美国联邦贸易委员会的新声明表示log4j漏洞已经导致了大量的麻烦，包括一连串的恶意活动和一系列黑客 事件。美国联邦贸易委员会对那些没有认真对待log4j威胁的公司发出警告：这些公司可以选择庭外和解，或者请律师。

这个安全漏洞困扰着互联网的大部分地区，自从12月初log4j被发现以来，它已经迫使众多网络大公司在黑客入侵之前抢先修补他们的 产品和系统。

从写代码开始，就陆陆续续接触到了许多日志框架，常用的Log4j 、Log4j2、 Logback等。每次自己写项目时，就copy别人的代码或网上的demo。配置log4j.properties或者logback.xml 就能搞定。但是一直没有理清各个框架之间的关系。然后总感觉打印日志的时候并不是随心所欲。特此简单分析分析。

事件背景

12月10日，看到朋友圈中已经有人在通宵修改、上线系统了。随即，又看到阿里云安全、腾讯安全部门发出的官方报告：”

据塔斯社12月14日报道，美国网络安全与基础设施安全局（CISA）已经命令所有的民用联邦机构在12月24日之前修补Log4j漏洞和其他三个漏洞，将其加入该组织的已知利用漏洞目录。

CISA为所有Log4j漏洞内容创建了一个登录页面，并与包括多家网络安全公司在内的联合网络防御合作组织一起提供见解。

CISA将Log4j漏洞与其他12个漏洞一起添加，其中4个漏洞的补救截止日期为12月24日，其余漏洞的补救截止日期为2022年6月10日。 预计将在圣诞节前修复的漏洞包括Zoho Corp.的桌面中央认证绕过漏洞、Fortinet FortiOS任意文件下载漏洞和Realtek Jungle SDK远程代码执行漏洞。

2021年12月9日，星云博创摘星实验室监测到网上Apache Log4j 的远程代码执行漏洞细节被公开，大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。该漏洞一旦被攻击者利用会造成严重危害。经过快速分析和确认，该漏洞影响范围极其广泛，危害极其严重，我们建议企业第一时间启动应急响应进行修复。

概述