本文共计4086个文字，预计阅读时间需要17分钟。

简介：Log4j2漏洞概述

Log4j2是一个广泛使用的Java日志框架，但不幸的是，它存在一个严重的安全漏洞。这个漏洞最早在2021年底被发现，影响了许多大型企业和组织。尽管这个漏洞并非最近才出现，但它给企业带来的影响却是巨大的。这个漏洞不仅涉及Log4j2的处理方式，还通过升级最新依赖版本即可被利用。

简介

对于Log4j2大家应该都不是很陌生，听说最多的应该是2021年年底出现的安全漏洞了，不过最让大家头痛的应该不仅仅是这个安全漏洞的处理，安全漏洞通过升级最新的依赖版本即可快速解决，平时在使用过程中遇到过比较多的问题应该就是日志jar包不知道如何选择？日志jar冲突引起的日志不打印问题，日志配置太过复杂不知道如何配置只能百度CV粘贴一个配置。这些日志配置其实并不复杂，主要是因为日志组件的发展历史比较充满曲折，导致了很多地方不兼容。接下来就来通过日志组件的发展历史来入手，看看Log4j2是从什么背景下产生的。

历史

Log4j2日志出现的这些问题多少与它出现的历史有点关系，接下来就先来了解下Java日志发展史，方便我们后续知道引入哪个依赖组件。

System.out

对于Java日志打印最开始只有大家熟悉的以System开头如System.out.println("hello world")这样的写法，默认的控制台日志打印方式需要有IO操作,性能极其低效(慎用)，功能也太过单一只能简简单单的输出日志。

Log4j

再后来就有了软件开发者Ceki Gulcu设计出了一套日志库也就是log4j并捐献给了Apache帮助简化日志打印。相关的依赖包是log4j和适配log4j2的桥接包log4j-1.2-api。