大家都知道，Log4j2是一款非常优秀和应用广泛的Java日志框架，其基于Log4j做了很多改进和升级，并且引入了很多有用的特性，在很多项目里被用作日志记录，所以还是得重视一下的。

本文中会涉及到

?Log4j 漏洞介绍及产品修复建议

?Log4j 漏洞对于微软产品的影响

Log4j2简介

日志框架slf4j、j.u.l、log4j、logback、log4j2的比较

作为一个JAVA程序员, 都应该了解操作日志的需求吧? 这里介绍一个快速实现类似操作日志, 审核日志等审查功能的开源工具oplog4j.

实例

先来看一个OpLog4j生成的操作日志实例. 为了便于查看, 这里对内容做了格式化, 还添加了一些注释说明. 开发者可以根据这个实例的内容判断OpLog4j在否能满足产品的需求.

昨日，Apache log4j披露一个远程代码执行漏洞，影响极大，敬请各位朋友告知单位，有使用的赶紧进行修复！在此也要联系安全厂家升级安全设备特征规则库。

防御该漏洞。log4j是一个日志框架。对于Java web危害极大。

听说，还没确认，刚刚自己poc确认了，spring boot只引入了log4j-slf4j是没有漏洞的，必须要有log4j-core才可以，但是spring boot的log4j的starter是影响的。因为原理是利用log4j-core下面的JndiManager的lookup方法存在的jndi注入漏洞

本以为，经过上周的2.16.0版本升级，Log4j2的漏洞修复工作，大家基本都要告一段落了。

继Log4J爆出安全漏洞之后，又在深夜，Spring的github上又更新了一条可能造成RCE（远程命令执行漏洞）的问题代码，随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上，有些专家又建议回滚到JDK 7以下，一时间小伙伴们不知道该怎么办了。大家来看一段动画演示，怎么改都是“将军"。

log4j、log4j2、logback日志关系

1、Apache Log4j 是一个老的日志框架，并且是多年来最受欢迎的日志框架。2015 年 8 月 5 日，该项目管理委员会宣布 Log4j 1.x 已达到使用寿命。 建议用户使用 Log4j 1 升级到 Apache Log4j2。

2、logback 是由 log4j 创始人设计的又一个开源日志组件，作为流行的 log4j 项目的后续版本，从而替代 log4j。原生

最近系统被扫出来还在使用老旧的log4j，需要升级到最新的log4j。但是在升级的发现，Java相关的日志处理库有log4j, log4j2,slf4j和logback，初一看确实有点头大，那么区别是啥呢？之前也大概知道一些，查找了大量相关资料，这里好好总结一下，相信你读完就会熟练掌握。