Log4j
一、版本关系
- Log4j 1.x:初代日志框架,2001 年发布,Apache 已在 2015 年宣布停止维护(End of Life),无官方安全更新。
- Log4j2:是 Log4j 1.x 的全新重写版本(并非简单升级),2014 年发布,解决了 1.x 的性能、架构缺陷,也是 Log4Shell 漏洞(CVE-2021-44228)的核心影响对象。
两者属于 “同系列但架构完全不同” 的框架,API 有部分兼容,但核心实现、配置方式、安全风险差异极大。
二、核心差异
| 维度 | Log4j 1.x | Log4j2 |
|---|---|---|
| 维护状态 | 已停更(2015 年),无安全补丁 | 持续维护,定期发布安全更新 |
| 核心漏洞(Log4Shell) | 不受影响(无 JNDI Lookup 高危逻辑) | 2.0-2.14.1 受 Log4Shell 漏洞影响 |
| 性能 | 单线程日志,性能一般 | 异步日志优化,吞吐量提升 10-100 倍 |
| 功能特性 | 功能基础,无异步日志、插件体系 | 支持异步日志、插件化、参数化日志、自定义布局 |
| 配置方式 | 仅支持 .properties 文件 | 支持 XML/JSON/YAML/Properties,配置更灵活 |
| 依赖 | 依赖 commons-logging | 无强依赖,内置 Log4j API |
| 异常处理 | 日志报错可能导致应用崩溃 | 日志组件异常不影响主程序运行 |
三、注意事项
1. Log4Shell 漏洞仅影响 Log4j2
这是最核心的安全区别:
- Log4j 1.x 没有 Log4j2 中的
Lookup机制(尤其是 JNDI Lookup),因此完全不受 Log4Shell(CVE-2021-44228)影响; - Log4j2 之所以爆发该漏洞,是因为其默认开启的
${}表达式解析功能,支持 JNDI 远程加载类,而 Log4j 1.x 无此设计。
2. Log4j 1.x 的 “隐性风险”
虽然 Log4j 1.x 没有 Log4Shell 漏洞,但因停更多年,存在其他未修复的低危漏洞(如部分场景的内存泄漏),且无法获得官方补丁,生产环境不建议使用。
3. 迁移与兼容
- 若从 Log4j 1.x 迁移到 Log4j2:
- API 层面:Log4j2 提供了
log4j-1.2-api适配包,可低成本替换,无需大量修改业务代码; - 配置层面:需重新编写配置文件(如将 .properties 改为 Log4j2 支持的 XML/JSON)。
- API 层面:Log4j2 提供了
- 若当前用 Log4j2:必须确保版本 ≥ 2.17.1(彻底修复 Log4Shell 及后续绕过漏洞)。
4. 快速判断项目用的是哪个版本
- 看依赖包名:
- Log4j 1.x:
log4j-1.2.17.jar(核心包名含版本,无 2 标识); - Log4j2:
log4j-core-2.xx.x.jar+log4j-api-2.xx.x.jar(核心分 api 和 core 两个包)。
- Log4j 1.x:
- 看配置文件:
- Log4j 1.x:
log4j.properties; - Log4j2:
log4j2.xml/log4j2.json(文件名带 2)。
- Log4j 1.x:
四、总结
- Log4j 1.x 是停更的旧版本,无 Log4Shell 风险,但有其他未修复漏洞,不建议生产使用;Log4j2 是主流版本,需升级到 ≥2.17.1 以规避 Log4Shell 漏洞。
- 两者架构完全不同,Log4j2 在性能、功能、稳定性上全面优于 Log4j 1.x,是当前 Java 日志的首选。
- 核心安全结论:Log4Shell 仅针对 Log4j2(2.0-2.14.1),Log4j 1.x 不受此漏洞影响,但仍需替换为维护中的 Log4j2。