5

我正在开发一个使用 Log4j (1.2.16) 注销的 Web 应用程序。为了避免编辑大量文件,我尝试加入一个自定义 LoggerFactory 实现,以防止日志伪造。

看来可以设置log4j.loggerFactory配置设置(项目使用属性文件方法)来指定要使用的记录器工厂。但是,这似乎不起作用。在检查了 Log4j 的源代码后,似乎从未真正使用过该属性,即使它是由 PropertyConfigurator 类读取的。

检查更多的 Log4j 源代码,这似乎是实现我想要的唯一方法,我必须创建 Log4j 类的自定义子类。这是唯一的方法吗?

以下代表我必须在我的 Web 应用程序上下文侦听器中执行哪些操作以初始化 Log4j,以便使用我的自定义记录器工厂:

package com.example.myapp.log4j;

import javax.servlet.ServletContextListener;
import javax.servlet.ServletContextEvent;
import javax.servlet.*;

public class MyLog4jInitContextListener implements ServletContextListener
{
  public void contextInitialized(
      ServletContextEvent event
  ) {
    this.context = event.getServletContext();

    String file = context.getInitParameter("log4jConfiguration");
    if (file != null) {
      String prefix = context.getRealPath("/");
      String pathname = prefix+file;
      event.getServletContext().log("Initializing log4j with "+pathname);
      org.apache.log4j.LogManager.setRepositorySelector(
          new org.apache.log4j.spi.DefaultRepositorySelector(
            new MyHierarchy(
              new org.apache.log4j.spi.RootLogger(
                (org.apache.log4j.Level)org.apache.log4j.Level.INFO))), this);
      new MyPropertyConfigurator().doConfigure(
          pathname, org.apache.log4j.LogManager.getLoggerRepository());
    } else {
      event.getServletContext().log(
          "No log4jConfiguration parameter specified");
    }
  }

  public void contextDestroyed(
      ServletContextEvent event
  ) {
    this.context = null;
  }

  private ServletContext context = null;
}

我必须创建一个自定义Hierarchy,因为它似乎对默认的日志记录工厂进行了硬编码。此版本确保在调用单个参数 getLogger() 方法时使用我的工厂(这似乎通过 Logger.getLogger() -> LogManager.getLogger() -> Hierarchy.getLogger() 发生):

我的层次结构.java

package com.example.myapp.log4j;
import org.apache.log4j.Hierarchy;
import org.apache.log4j.Logger;
import org.apache.log4j.spi.LoggerFactory;

public class MyHierarchy extends Hierarchy
{
  public MyHierarchy(Logger root) { super(root); }
  @Override
  public Logger getLogger(String name) {
    return getLogger(name, defaultFactory);
  }
  private LoggerFactory defaultFactory = new MyLoggerFactory();
}

不确定我是否需要自定义 PropertyConfigurator,但如果有一些执行路径实际使用它保留引用的记录器工厂实例,我会这样做。

MyPropertyConfigurator.java

package com.example.myapp.log4j;
import org.apache.log4j.PropertyConfigurator;

public class MyPropertyConfigurator extends PropertyConfigurator
{
  public MyPropertyConfigurator() {
    loggerFactory = new MyLoggerFactory();
  }
  @Override
  protected void configureLoggerFactory(java.util.Properties props) {
  }
}

以下是我的记录器工厂实现。MyEscapedLogger 实现是 Log4j 的 Logger 类的子类,但它在调用该方法的超级版本之前覆盖了forcedLog() 保护方法以对消息中的字符进行转义。

MyLoggerFactory.java

package com.example.myapp.log4j;
import org.apache.log4j.spi.LoggerFactory;

public class MyLoggerFactory implements LoggerFactory
{
  public Logger makeNewLoggerInstance(String name) {
    return new MyEscapedLogger(name);
  }
}
4

1 回答 1

2

在搜索了一段时间后,我发现了这个非常好的解决方案:

        final LoggerFactory loggerFactory = new LoggerFactory()
        {

            @Override
            public Logger makeNewLoggerInstance(String name)
            {
                return new MyCustomLogger(name);
                // or (if you don't need a custom Logger implementation):
                // Logger logger = new Logger(name);
                // logger.setSTUFF(...);
                // return logger;
            }

        };

        LoggerRepository rep = new Hierarchy(new RootLogger(Level.DEBUG))
        {

            @Override
            public Logger getLogger(String name)
            {
                return super.getLogger(name, loggerFactory);
            }

        };

        LogManager.setRepositorySelector(new DefaultRepositorySelector(rep), null);

我正在使用:log4j 1.2.17

于 2015-06-08T10:49:06.427 回答