Log4j日志分类和过滤敏感字段的实例

项目上线时,需要对项目做安全检查,其中有两项是对输出日志进行分类和过滤掉日志中敏感字段。

项目使用Log4j日志系统,下面简单介绍下这两项要求的实现方式。

对日志进行分类,要求调用其他服务的API日志按照格式单独输出到一个文件。

方式: 除根Logger外,再额外增加一个apiLogger,如下,

 <!-- api logger的设置-->
 <logger name="log4j.logger.apiLogger" additivity="false">
 <level value ="INFO"/>
 <appender-ref ref="apiConsoleAppender"/>
 <appender-ref ref="apiMsgOutGoingAppender"/>
 </logger>

 <!-- 根logger的设置-->
 <root>
 <level value ="INFO"/>
 <appender-ref ref="ConsoleAppender"/>
 <appender-ref ref="DailyRollingFileAppender"/>
 </root>

注: (1) additivity设为false,则root中的配置就失效了。即使用root配置的日志不会在apiLogger的文件中出现;

(2) 每种logger指定两个appender,分别是在debug console和Linux 服务器日志文件中显示。

根日志的ConsoleAppender和DailyRollingFileAppender的配置如下:

<appender name="ConsoleAppender" class="org.apache.log4j.ConsoleAppender">
 <!-- 设置日志输出的样式 -->
 <layout class="org.apache.log4j.PatternLayout">
 <!-- 设置日志输出的格式 -->
 <param name="ConversionPattern" value="**** [%p] [%d{yyyy/MM/dd HH:mm:ss:SSS}] ******************************%n[Thread] %t%n[Class] %C%n[Method] %M%n[Message] %m%n%n" />
 </layout>
</appender>
<appender name="DailyRollingFileAppender" class="org.apache.log4j.DailyRollingFileAppender">
 <!-- 设置日志信息输出文件全路径名 -->
 <param name="File" value="/var/log/tomcat/hpc.log" />
 <!-- 设置日志多久回滚一次,即产生一个新的日志文件 -->
 <param name="DatePattern" value="'_'yyyy-MM-dd" />
 <!--日志编码格式-->
 <param name="Encoding" value="UTF-8" />
 <!-- 设置是否在重新启动服务时,在原有日志的基础添加新日志 -->
 <param name="Append" value="true" />
 <!-- 设置日志输出的样式 -->
 <layout class="org.apache.log4j.PatternLayout">
 <!-- 设置日志输出的格式 -->
 <param name="ConversionPattern" value="**** [%p] [%d{yyyy/MM/dd HH:mm:ss:SSS}] *************************%n[Thread] %t%n[Class] %C%n[Method] %M%n[Message] %m%n%n" />
 </layout>
 <!-- 日志过滤: adminPass, X-Auth-Token; 包含该字符串的信息不输出 -->
 <filter class="org.apache.log4j.varia.StringMatchFilter">
 <param name="StringToMatch" value="adminPass" />
 <param name="AcceptOnMatch" value="false" />
 </filter>
 <filter class="org.apache.log4j.varia.StringMatchFilter">
 <param name="StringToMatch" value="X-Auth-Token" />
 <param name="AcceptOnMatch" value="false" />
 </filter>
 <filter class="org.apache.log4j.varia.StringMatchFilter">
 <param name="StringToMatch" value="PW" />
 <param name="AcceptOnMatch" value="false" />
 </filter>
 <filter class="org.apache.log4j.varia.StringMatchFilter">
 <param name="StringToMatch" value="pwd" />
 <param name="AcceptOnMatch" value="false" />
 </filter>
 <!-- password Password-->
 <filter class="org.apache.log4j.varia.StringMatchFilter">
 <param name="StringToMatch" value="assword" />
 <param name="AcceptOnMatch" value="false" />
 </filter>
 <!-- 过滤pstmt-, 所有的数据库操作均包含此字符串-->
 <filter class="org.apache.log4j.varia.StringMatchFilter">
 <param name="StringToMatch" value="pstmt-" />
 <param name="AcceptOnMatch" value="false" />
 </filter>
</appender>

apiLogger的apiConsoleAppender和apiMsgOutGoingAppender设置如下:

<!-- 将日志信息输出到文件,可以配置多久产生一个新的日志信息文件 -->
<appender name="apiConsoleAppender" class="org.apache.log4j.ConsoleAppender">
 <!-- 设置日志输出的样式 -->
 <layout class="org.apache.log4j.PatternLayout">
 <!-- 设置日志输出的格式 -->
 <param name="ConversionPattern" value='[%-5p] [Outgoing] %X{og.serverIp} [%d{yyyy-MM-dd HH:mm:ss,SSS z}] %X{og.respTime} "%X{og.visitUri}" %X{og.statusCode} %X{og.reqLen} %X{og.respLen} %n' />
 </layout>
</appender>
<appender name="apiMsgOutGoingAppender" class="org.apache.log4j.RollingFileAppender">
 <!-- 设置日志信息输出文件全路径名 -->
 <param name="File" value="/var/log/tomcat/interface.log" />
 <!--日志编码格式-->
 <param name="Encoding" value="UTF-8" />
 <!-- 设置是否在重新启动服务时,在原有日志的基础添加新日志 -->
 <param name="Append" value="true" />
 <!-- 设置文件最大size -->
 <param name="MaxFileSize" value="30MB" />
 <!-- 保留日志文件数的最大值 -->
 <param name="MaxBackupIndex" value="100" />
 <!-- 设置日志输出的样式 -->
 <layout class="org.apache.log4j.PatternLayout">
 <!-- 设置日志输出的格式 -->
 <param name="ConversionPattern" value='[%-5p] [Outgoing] %X{og.serverIp} [%d{yyyy-MM-dd HH:mm:ss,SSS z}] %X{og.respTime} "%X{og.visitUri}" %X{og.statusCode} %X{og.reqLen} %X{og.respLen} %n'/>
 </layout>
</appender>

注:(1) Log4j系统Appender组件负责日志的输出配置,包括输出目录,最大输出大小,输出文件数等;Layout组件负责日志输出的格式。

(2)JAVA代码在使用日志系统时,默认用根日志的配置输出,若想使用apiLogger,使用:

private static Logger log = Logger.getLogger("log4j.logger.apiLogger");

(3)日志layout中传入自定义参数,使用MDC类:

public static void configAndPrintAPILogger(Logger logger, int statusCode, String method, String url,
 long responseTime,
 int requestLength, int responseLength)
 {
 String endpoint = url.split("/")[2];
 MDC.put("og.serverIp", endpoint);
 MDC.put("og.respTime", responseTime);
 //截取 https://endpoint之后的
 MDC.put("og.visitUri", method + " " + url.substring(8 + endpoint.length()));
 MDC.put("og.statusCode", statusCode);
 MDC.put("og.reqLen", requestLength);
 MDC.put("og.respLen", responseLength);
 logger.info("");
 }

经上述配置后,日志的输出如下:

2. 日志中过滤敏感字符,如password, PW, adminPass等。如DailyRollingFileAppender中所示,使用StringMatchFilter:

 <!-- 过滤password Password-->
 <filter class="org.apache.log4j.varia.StringMatchFilter">
 <param name="StringToMatch" value="assword" />
 <param name="AcceptOnMatch" value="false" />
 </filter>

StringMatchFilter中使用msg.indexOf(StringToMatch)参数判断是否过滤,即该条日志包含指定字段,若AcceptOnMatch设置为false,则不输出。

需要注意的是,log4j日志系统采用xml格式时才能用该种方式过滤,properties格式时不能用此方法。

补充知识:解决日志log4j,slf4j,logback冲突问题

问题描述:

启动tomcat,发现tomcat无法启动,catalina.out有如下错误日志:

INFO [localhost-startStop-1] org.apache.catalina.core.ApplicationContext.log Closing Spring root WebApplicationContext
SEVERE [localhost-startStop-1] org.apache.catalina.core.StandardContext.listenerStop Exception sending context destroyed event to listener instance of class org.springframework.web.context.ContextLoaderListener
java.lang.NoClassDefFoundError: Could not initialize class org.apache.log4j.Log4jLoggerFactory
 at org.apache.log4j.LogManager.getLogger(LogManager.java:44)
 at org.slf4j.impl.Log4jLoggerFactory.getLogger(Log4jLoggerFactory.java:73)
 at org.slf4j.LoggerFactory.getLogger(LoggerFactory.java:270)
 at org.apache.commons.logging.impl.SLF4JLogFactory.getInstance(SLF4JLogFactory.java:156)
 at org.apache.commons.logging.impl.SLF4JLogFactory.getInstance(SLF4JLogFactory.java:132)
 at org.apache.commons.logging.LogFactory.getLog(LogFactory.java:274)
 at org.springframework.web.context.ContextCleanupListener.<clinit>(ContextCleanupListener.java:43)
 at org.springframework.web.context.ContextLoaderListener.contextDestroyed(ContextLoaderListener.java:145)
 at org.apache.catalina.core.StandardContext.listenerStop(StandardContext.java:4860)
 at org.apache.catalina.core.StandardContext.stopInternal(StandardContext.java:5495)
 at org.apache.catalina.util.LifecycleBase.stop(LifecycleBase.java:224)
 at org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:159)
 at org.apache.catalina.core.ContainerBase$StartChild.call(ContainerBase.java:1407)
 at org.apache.catalina.core.ContainerBase$StartChild.call(ContainerBase.java:1397)
 at java.util.concurrent.FutureTask.run(FutureTask.java:266)
 at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
 at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
 at java.lang.Thread.run(Thread.java:745)

问题分析:

检查lib库下面,发现今天更新过log4j和logback组合,总共有如下包:

slf4j-api-1.7.5.jar

slf4j-log4j12-1.6.1.jar

log4j-1.2.16.jar

log4j-over-slf4j-1.7.5.jar

logback-core-1.1.2.jar

logback-classic-1.1.2.jar

通过查询资料发现,包slf4j-log4j12-1.6.1.jar 和log4j有冲突。

解决方法:

删除后正常,删除这个:slf4j-log4j12-1.6.1.jar

附件常见组合:

log4j+slf4j

slf4j-api-1.7.5.jar

slf4j-log4j12-1.6.1.jar

log4j-1.2.16.jar

slf4j+logback

logback-core-1.1.2.jar

logback-classic-1.1.2.jar

slf4j-api-1.7.5.jar

以上这篇Log4j日志分类和过滤敏感字段的实例就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们。

(0)

相关推荐

  • 使用logback屏蔽一些包的日志

    在logback.xml中加上该配置,包名如:com.xxx <logger name="packageName" level="OFF"> </logger> 补充知识:logback,利用java包名对包内所有类定义输出形式 目的 将java package 中的所有类定义一个输出logger,定义它的级别,这样就不用每个类都配置. 测试 配置文件 <?xml version="1.0" encoding=&qu

  • SpringBoot之LogBack配置详解

    LogBack 默认集成在 Spring Boot 中,是基于 Slf4j 的日志框架.默认情况下 Spring Boot 是以 INFO 级别输出到控制台. 它的日志级别是: ALL < TRACE < DEBUG < INFO < WARN < ERROR < OFF 配置 LogBack 可以直接在 application.properties 或 application.yml 中配置,但仅支持一些简单的配置,复杂的文件输出还是需要配置在 xml 配置文件中.配

  • logback关闭某个包的日志操作

    最近想关闭一个包的日志打印,经过一番研究实际上就一句话的事, 一直没成功是因为name写错了. <logger name="packname" level="OFF"> </logger> packname一般是包名,但也可能是其他的名字,这个取决于java代码中写的名字 static final Logger log=LoggerFactory.getLogger("name"); 补充知识:Log4j和logback冲

  • 利用logback 设置不同包下的日志级别

    1.实现效果:项目的整体的日志打印级别为ERROR,但在某个包下或某个类想打印INFO级别的日志. 2.配置: FILE是ERROR级别日志打印: SPECIAL 是INFO级别日志打印: FILE与SPECIAL唯一不同是日志保存路径不同,其它策略相同: 通过 logger标签指定包路径或类路径并引用SPECIAL: <?xml version="1.0" encoding="UTF-8"?> <configuration> <con

  • Log4j日志分类和过滤敏感字段的实例

    项目上线时,需要对项目做安全检查,其中有两项是对输出日志进行分类和过滤掉日志中敏感字段. 项目使用Log4j日志系统,下面简单介绍下这两项要求的实现方式. 对日志进行分类,要求调用其他服务的API日志按照格式单独输出到一个文件. 方式: 除根Logger外,再额外增加一个apiLogger,如下, <!-- api logger的设置--> <logger name="log4j.logger.apiLogger" additivity="false&quo

  • log4j日志格式加入自定义字段信息方式

    目录 log4j日志格式加入自定义字段信息 log4j2入库自定义字段类型 官方API文档中只提供了几个属性 设置isNumber="true" log4j日志格式加入自定义字段信息 在使用log4j日志的时候,有时需要在日志中加入自定义字段信息,例如在日志中加入登录用户的信息等,这时就可以使用org.apache.log4j.MDC来实现该功能: 1.在Action的方法中,直接使用 MDC.put("username",getUserInfo().getName

  • C#实现Log4Net日志分类和自动维护实例

    本文实例讲述了C#实现Log4Net日志分类和自动维护的实现方法.分享给大家供大家参考.具体实现方法如下: 一.背景 在程序中,我们调试运行时信息,Log4Net是一个不错的解决方案.不知道是我用的不好,用到最后反而都不想看日志了.原因是因为我n个功能使用的默认的Logger来记录日志,这样以来,所有功能记录的信息都依赖同一个配置,于是所有的信息都在一个文件中,有时候查找起来,极其不方便. 我想,能不能按照功能分类呢?如果通过配置不同的logger,然后功能根据不同的LoggerName加载Il

  • 使用mybatis拦截器处理敏感字段

    目录 mybatis拦截器处理敏感字段 前言 思路解析 代码 趟过的坑(敲黑板重点) mybatis Excutor 拦截器的使用 这里假设一个场景 实现过程的关键步骤和代码 重点 mybatis拦截器处理敏感字段 前言 由于公司业务要求,需要在不影响已有业务上对 数据库中已有数据的敏感字段加密解密,个人解决方案利用mybatis的拦截器加密解密敏感字段 思路解析 利用注解标明需要加密解密的entity类对象以及其中的数据 mybatis拦截Executor.class对象中的query,upd

  • AngularJS模糊查询功能实现代码(过滤内容下拉菜单排序过滤敏感字符验证判断后添加表格信息)

    注:添加球员的功能无指定技术要求,添加球员的页面也无具体样式要求. 1.实现上图页面所有元素,页面布局规整,跟上图效果一致 2.实现文案显示,按效果显示 3.实现查询,实现查询敏感词过滤,实现查询后列表变化 4.实现倒序,实现正序,下拉列表排序效果都实现 5.按钮背景一致,按钮样式 6.实现添加球员页面,添加球员页面样式,添加球员功能,添加球员必填项判断,添加完球员后能显示在表格内,已存在球员判重. 7.表格样式跟上图样式一致 代码: <!DOCTYPE html> <html lang

  • Log4j 日志文件Linux/Mac/Windows通用存放位置设置方法

    log4j1/log4j2中category的配置以及log的输出位置(windows和linux通用的log输出位置) 一.场景和需求 假设我现在有3个独立的用project(暂时用maven关联起来,当然也可以不用maven),一个是提供公共服务的infrastructure,一个是提供存储的persister,一个是提供搜索的searcher,其中提供基础服务的所有的类,例如DateUtils,HttpUtils等工具类都位于目录com.chuanliu.platform.activity

  • SSM整合中的Log4j日志的配置详情

    在网上搜索了很多的log的配置方法,当然结果很多,但是没有一个是我想要的.没办法只能自己去试了.只说如何在项目中引入log4j来显示日志的输出.当然配置文件是少不了的. 配置 log4j.properties 在SSM整合的项目中会有文件夹src/main/resources 所有的资源型文件都要放在这个resource下面(个人习惯,也可以放在其让地方) ### Log4j配置 ### ### 与Spring结合需要在web.xml中指定此文件位置,并添加监听器 ### #定义log4j的输出

  • SSM项目中配置LOG4J日志的方法

    本文介绍了SSM项目中配置LOG4J日志的方法,分享给大家,具体如下: 在pom文件中添加依赖 . <!--Log4j2配置--> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.8.1</version> </dependency> <

  • Java中 log4j日志级别配置详解

    1.1 前言 说出来真是丢脸,最近被公司派到客户公司面试外包开发岗位,本来准备了什么redis.rabbitMQ.SSM框架的相关面试题以及自己做过的一些项目回顾,信心满满地去面试,结果别人一上来就问到了最近项目使用的日志系统是什么?日志级别是怎么配置的?当时我都蒙X了,平时都是项目经理搭的,我自己也是随便上网一搜往配置文件一黏贴就OK了.我就这么说完后面试官深深定了我一眼,当时我的内心羞愧到...... 1.2 闲话少说,讲讲日志的发展故事(如果已经了解的可以跳过,直接看1.3日志配置) 要想

  • 利用Python正则表达式过滤敏感词的方法

    问题描述:很多网站会对用户发帖内容进行一定的检查,并自动把敏感词修改为特定的字符. 技术要点: 1)Python正则表达式模块re的sub()函数: 2)在正则表达式语法中,竖线"|"表示二选一或多选一. 参考代码: 以上这篇利用Python正则表达式过滤敏感词的方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们.

随机推荐