如何配置log4j2日志记录至数据库

一、前提条件 系统必须是使用LOG4J进行日志管理，否则方法无效。 系统必须包含中国mons-logging-xxx.jar，log4j-xxx.jar这两个JAR包，XXX为版本号。 二、 *** 作步骤 1、创建日志表要把日志持久化，必须在数据库中创建一张用来存储日志信息的表，表内字段为日志 的一个主要属性包括： *** 作类，执行方法，打印时间，日志级别，日志内容。CREATE TABLE RESLOG (LOGID VARCHAR2(20) NOT NULL, CLASS VARCHAR2(200), METHOD VARCHAR2(100), CREATETIME DATE, LOGLEVEL VARCHAR2(50), MSG VARCHAR2(4000))因为存储的类为类的全部路径，所以CLASS字段长度需要比较大。2、日志管理配置 LOG4J主要有两种配置文件.properties和.xml，这里以properties文件为基础来讲 述，关于XML文件的配置，相信大家看完下面的介绍也一样能轻松完成。 通常在LOG4J.PROPERTIES文件的第一行是： log4j.rootLogger= XXX，这句是控制日志的输出，如果想吧日志输出到数据库， 则需要在XXX中添加“DB”，如log4j.rootLogger=INFO,stdout,Platform,db。上面 这句就是把日志中级别为INFO的信息输出到STDOUT,PLATFORM和DB （DATABASE）中。 配置好如上的信息，LOG4J就知道用户是想把信息存入数据库，接下来我们就要来 配置数据库的相关信息（包括缓存，数据库连接信息，和执行SQL），配置信息如下： ###JDBCAppender log4j.appender.db = org.apache.log4j.jdbc.JDBCAppender //这个配置是选择使用JDBCAppender方法，将日志信息存储到数据库。当然，如果你还要做其他 *** 作，可以自己写个类，继承JDBCAppender就OK了。 log4j.appender.db.BufferSize=1 //这个配置是告诉LOG4J，有中国条日志信息后才存入数据库，我这里是1,就是说有一条就查一条，显然这样在生产环境下是很影响系统性能的。 log4j.appender.db.driver=oracle.jdbc.driver.OracleDriver //这个配置是告诉LOG4J，做数据库存储所用的驱动。 log4j.appender.db.URL=jdbc:oracle:thin:@:: //这个配置数据库连接的URL，不用说也都知道。 log4j.appender.db.user=XXX log4j.appender.db.password=XXX //上面两个是数据库连接时的用户名和密码 log4j.appender.db.sql=insert into RESLOG (LogId,Class,Method,createTime,LogLevel,MSG)values (SQ_RESLOG_LOGID.Nextval,'%C','%M', to_date('%d{yyyy-MM-dd HH:mm:ss}','yyyy-MM-ddHH24:mi:ss'),'%p','%m') //这个配置是告诉当LOG4J吧日志存储数据库时用的SQL语句。SQ_RESLOG_LOGID.Nextval是我建的一个SEQUENCE；‘%C’是日志中的CLASS；‘%M’是打印日志是执行到类里的方法；‘%d’是打印的时间，它支持格式化；‘%P’是日志级别，包括INFO、DEBUG、ERROR等；‘%m’是MSG，日志内容。注意这里的参数区分大小写。 log4j.appender.db.layout=org.apache.log4j.PatternLayout 通过上面的配置，现在再启动服务，LOG4J就会自动把原来存储在.LOG文件中的信息，同时存储到数据库

漏洞概述

近日，WebRAY安全服务部监测到编号为CVE-2021-44832的Apache Log4j2远程代码执行漏洞。攻击者可以通过修改配置文件中JNDI 动态及远程获取数据库源处插入恶意代码，造成远程代码执行漏洞，但想要成功利用该漏洞需要攻击者有权限修改Log4j2的配置文件，利用难度较高。WebRAY安全服务部建议相关用户采取安全措施防止漏洞攻击。

Apache Log4j2是Log4j的升级版本，该版本与之前的log4j1.x相比性能显著提升；在修复了一些存在于Logback中固有的问题的同时，提供了很多在Logback中可用的性能。Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

影响范围

2.0-beta7 <= Log4j2<= 2.17.0（不包括安全修复版本 2.3.2 和 2.12.4）

漏洞等级

WebRAY安全服务部风险评级：中危

修复建议

建议用户及时升级到Log4j 2.3.2（适用于Java 6）、2.12.4（适用于Java 7）或 2.17.1（适用于 Java 8 及更高版本），官方下载地址：

https://logging.apache.org/log4j/2.x/download.html

注：从2.17.1版本（适用于 Java 8 及更高版本）、2.12.4（适用于Java 7）、2.3.2（适用于Java 6）开始，已删除对LDAP协议的支持，并且 JNDI 连接仅支持JAVA协议。启用JNDI的属性已从“log4j2.enableJndi”重命名为三个单独的属性：log4j2.enableJndiLookup、log4j2.enableJndiJms和log4j2.enableJndiContextSelector。

参考链接

https://logging.apache.org/log4j/2.x/security.html

https://github.com/apache/logging-log4j2

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832

阿里云的员工发现了log4j组件的重要安全漏洞，只上报了Apache，没有告知GXB，受到了处罚。

log4j2是从log4j一步步变过来的。它就是一个用Java编写的可靠、快速和灵活的日志框架，是在Apache软件许可证下发布的。

log4j开始与1996年初。当时它用作欧盟SEMPER(欧洲安全电子市场Secure Electronic Marketplace for Europe)项目的追踪API（应用程序接口）。

经过无数的增强和改进，最初的API就发展成为log4j，一种流行的Java日志包。

日志包就是用来记录系统或软件运行过程中的信息接口函数的集合，让开发软件的程序员调用来记录运行信息：程序跑到哪一步了？运行过程中出现了什么错误？等等。

日志记录模块是不跟普通用户打交道的，是给程序员调试用的。但它是软件开发的一个重要组成部分。编写良好的日志代码提供了快速调试、易于维护和结构化存储应用程序运行时信息的功能。

不过，日志记录模块也有它的缺点。它会降低应用程序的速度。而log4j则被设计成可靠、快速和可扩展的的日志包，再加上是开源的，因此用的非常多。

也正式因为应用广泛这个原因，log4j2的重要安全漏洞影响面也相应的很大。

---