堆棧內存溢出
  簡體   English   中英

Apache Log4j Security Vulnerabilities - 2.17.0 jar not load Lookup values into log4j2.xml

[英]Apache Log4j Security Vulnerabilities - 2.17.0 jar not load Lookup values into log4j2.xml

 原文  2021-12-23 03:46:01       java/ spring/ log4j2

問題描述

根據Apache Log4j 安全漏洞指南,我在我的應用程序中更新了 2.17.0 jar。

升級后日志文件未生成。

Spring version : 5.3.13
Log4j version : 2.17.0
java : 1.8

請參閱下面給出的 log4j2.xml

<?xml version="1.0" encoding="UTF-8"?>
<Configuration monitorInterval="1">
    <Properties>
        
        <Property name="log-path">${appconfig:log_path}</Property>
        <Property name="log-name">${appconfig:filename}</Property>
        <Property name="archive-days">${appconfig:archive_days}</Property>
        <Property name="file-level">${appconfig:file_level}</Property>
        <Property name="console-level">${appconfig:console_level}</Property>
         
        
    </Properties>
    <Appenders>

        <Routing name="route-log">
            <Routes pattern="${ctx:routingLogFile}">
                
                <Route>
                    <RollingFile name="default-log" fileName="${log-path}/${log-name}.log"
                                 filePattern="${log-path}/${date:yyyy-MM}/${log-name}.%d{MM-dd-yyyy}-%i.log.gz" append="true">
                        <PatternLayout
                                pattern="%d{MM/dd/yyyy HH:mm:ss.SSS z} %X{machine-name} %X{app-name} [%t] %-5level %logger{36}:%-3L - %msg%n" />
                        <Policies>
                            <TimeBasedTriggeringPolicy />
                            <SizeBasedTriggeringPolicy size="150 MB"/>
                        </Policies>
                        <DefaultRolloverStrategy max="1000">
                            <Delete basePath="${log-path}/" maxDepth="2">
                                <IfFileName glob="/${log-name}*.log.gz" />
                                <IfLastModified age="${archive-days}" />
                            </Delete>
                        </DefaultRolloverStrategy>
                    </RollingFile >
                </Route>
        
            </Routes>
                
        </Routing>
        <Console name="STDOUT" target="SYSTEM_OUT">
            <PatternLayout pattern="%d{ISO8601} %-5level %30.30logger{1.}:%-3L - %m%n%throwable" />
        </Console>
    </Appenders>
    
    <Loggers>
        <Logger name="org.springframework" level="ERROR"/>
         <Logger name="org.apache" level="ERROR"/>
        <Root level="${file-level}" additivity="false">
            <AppenderRef ref="route-log" />
            <AppenderRef ref="STDOUT" />
        </Root>
    </Loggers>
    
</Configuration>

我正在使用下面給出的查找,以便從表中獲取日志文件名、日志文件路徑、日志級別、存檔天數。

import org.apache.logging.log4j.core.LogEvent;
import org.apache.logging.log4j.core.config.plugins.Plugin;
import org.apache.logging.log4j.core.lookup.AbstractLookup;
import org.apache.logging.log4j.core.lookup.StrLookup;
import org.appconfig.properties.ApplicationProperties;
import org.springframework.util.StringUtils;

@Plugin(name = "appconfig", category = StrLookup.CATEGORY)
public class AppLog4JConfigDatabaseLookup extends AbstractLookup {

    public String lookup(final LogEvent event, final String key) {
        
        
        if (key.equalsIgnoreCase("filename")) {
            return ApplicationProperties.getLogFilename();
        }
        if (key.equalsIgnoreCase("log_path")) {
            return ApplicationProperties.getLogPath();
        }
        if (key.equalsIgnoreCase("file_level")) {
            return ApplicationProperties.getFileLogLevel();
        }
        if (key.equalsIgnoreCase("console_level")) {
            return ApplicationProperties.getConsoleLogLevel();
        }
        if (key.equalsIgnoreCase("app_name")) {
            return ApplicationProperties.getAppName();
        }
        if (key.equalsIgnoreCase("archive_days")) {
            return ApplicationProperties.getLogArchiveDays();
        }
        
        return key;
    }
}

請參閱以下服務 class。

public class LoaderJob extends SchedulerAdapterJob {
    @Autowired
    private FileLoaderJob fileLoaderJob;
    
    private static final Logger LOGGER = LogManager.getLogger(LoaderJob.class);
    @Override
    public void executeJob(JobExecutionContext jobExecutionContext) {
        ThreadContext.put("routingLogFile","LOADER_LOGS");
        try {
            fileLoaderJob.execute();        
            
        }
        catch (Exception e) {
            LOGGER.error("Exception in  "+getJobName()+" : "+ e.getMessage());
            throw e;
        }
        finally {
              ThreadContext.remove("routingLogFile");
        }       
        
    }

}

它在 2.16.0 中運行良好,在 2.17.0 中無法運行。 任何解決方案將不勝感激。

1 個解決方案

解決方案1
 2 已采納  2021-12-30 19:13:02

根據 Apache 指南,您應該在路由模式中添加兩個 $。 但是在您的 log4j2.xml 中只包含一個

請參考以下鏈接: https://logging.apache.org/log4j/log4j-2.2/faq.html

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 當log4j2.xml位於jar外部時,日志文件為空 log4j2.xml中每個包的Log4J不同的日志級別 log4j 2.0 JDBC ConnectionFactory到DB2的記錄未添加到日志表(log4j2.xml) log4j2.xml 查找系統屬性由 Spring 設置 使用XML文件(log4j2.xml)配置Log4j 2 指定log4j的配置文件(log4j2.xml)作為VM參數,僅在eclipse中工作 使用環境變量在項目外部加載log4j2.xml文件 log4j 2.17.0 更新問題:ClassNotFoundException SetUtils eclipse中的log4j2.xml和log4j2-test.xml 找不到Log4j2.xml但是log4j2-test.xml是
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM