1、简介
针对Java的日志系统有多种,本文主要描述如何通过修改配置文件来解决logback和log4j的日志伪造问题。
2、logback
2.1、系统提供的解决方案
在logback.xml中配置编码器自动转义特殊字符:
XML
复制
<configuration>
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>%d{yyyy-MM-dd HH:mm:ss} [%thread] %-5level %logger{36} - %replace(%msg){'[\r\n]', '\\n'}%n</pattern>
</encoder>
</appender>
<root level="INFO">
<appender-ref ref="CONSOLE" />
</root>
</configuration>2.2、自定义的解决方案
对于Logback,可以创建自定义转换器:
java
public class SanitizingConverter extends ClassicConverter {
@Override
public String convert(ILoggingEvent event) {
return event.getFormattedMessage()
.replace("\n", "\\n")
.replace("\r", "\\r");
}
}再在配置文件中配置自定义的转换器:
XML
<configuration>
<conversionRule conversionWord="sanitizedMsg"
converterClass="com.example.SanitizingConverter"/>
<appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>%d %sanitizedMsg%n</pattern>
</encoder>
</appender>
</configuration>2、log4J
2.1 使用过滤器(Filter)
创建自定义Filter:
XML
import org.apache.log4j.spi.Filter;
import org.apache.log4j.spi.LoggingEvent;
public class LogForgeFilter extends Filter {
@Override
public int decide(LoggingEvent event) {
String message = event.getRenderedMessage();
if (message != null && (message.contains("\n") || message.contains("\r"))) {
return Filter.DENY; // 拒绝包含换行符的日志
}
return Filter.NEUTRAL;
}
}然后在配置中添加:
XML
log4j.appender.CONSOLE.filter.1=com.yourpackage.LogForgeFilter这种方法由于在异常情况下,会不记录日志,就会导致有些异常的日志被过滤调了,不利于后期的攻击的调查。建议还是使用其它方案,把所有的日志都记录下来。
2.2、Log4J 1.x
2.2.1、系统提供的解决方案
在log4j.properties中添加或修改以下配置:
Groovy
log4j.appender.CONSOLE.layout=org.apache.log4j.PatternLayout
log4j.appender.CONSOLE.layout.ConversionPattern=%d{yyyy-MM-dd HH:mm:ss} %-5p %c{1}:%L - %m%n
log4j.appender.CONSOLE.layout.replaceNewlines=true2.2.2、自定义的解决方案
- 首先创建一个自定义的Layout类:
java
import org.apache.log4j.PatternLayout;
import org.apache.log4j.spi.LoggingEvent;
public class SanitizingPatternLayout extends PatternLayout {
@Override
public String format(LoggingEvent event) {
String message = super.format(event);
// 替换换行符和回车符
return message.replace("\n", "\\n").replace("\r", "\\r");
}
}- 在
log4j.properties中使用这个自定义Layout:
XML
log4j.appender.CONSOLE.layout=com.example.SanitizingPatternLayout
log4j.appender.CONSOLE.layout.ConversionPattern=%d{yyyy-MM-dd HH:mm:ss} %-5p %c{1}:%L - %m%n2.3、Log4J 2
2.3.1、系统提供的解决方案
在log4j2.xml中使用encode{}或替换模式:
XML
<Configuration>
<Appenders>
<Console name="Console" target="SYSTEM_OUT">
<PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss} [%t] %-5level %logger{36} - %encode{%msg}{CRLF}%n"/>
</Console>
</Appenders>
<Loggers>
<Root level="info">
<AppenderRef ref="Console"/>
</Root>
</Loggers>
</Configuration>2.3.2、对所有输出进行编码处理
XML
log4j.appender.CONSOLE.layout=org.apache.log4j.PatternLayout
log4j.appender.CONSOLE.layout.ConversionPattern=%d{ISO8601} [%t] %-5p %c - %encode{%m}%n注意:标准Log4j 1.x不直接支持%encode,需要自定义PatternLayout或使用扩展库