log4net配置工具

『壹』 各組織/開源項目對 Log4Shell 漏洞的響應匯總

出品|開源中國

作者|羅奇奇

本文旨在介紹 Log4shell 漏洞，並 收集各組織/開源項目對該漏洞的響應 ，以讓各大開發者對該漏洞的危害有所了解，避免更多損失。

Log4shell 漏洞背景說明

Apache Log4j2 是一個基於 Java 的日誌記錄工具。該工具重寫了 Log4j 框架，並且引入了大量豐富的特性，被大量用於業務系統開發，用來記錄日誌信息。

CVE-2021-44228 遠程式控制制漏洞（RCE）影響從 2.0-beta9 到 2.14.1 的 Log4j 版本。受影響的 Log4j 版本包含 Java 命名和目錄介面 (JNDI) 功能，可以執行如消息查找替換等操作，攻擊者可以通過向易受攻擊的系統提交特製的請求，從而完全控制系統，遠程執行任意代碼，然後進行竊取信息、啟動勒索軟體或其他惡意活動。

Apache Log4j2 安全補丁更新過程

官方通告

Apache Log4j 2 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0 版本的 JNDI 功能在配置、日誌消息和參數中使用，無法防止攻擊者控制的 LDAP 和其他 JNDI 相關端點。當啟用消息查找替換時，控制日誌消息或日誌消息參數的攻擊者可以執行從 LDAP 伺服器載入的任意代碼。從 log4j 2.15.0 開始，默認情況下已禁用此行為。從版本 2.16.0 開始，此功能已完全刪除。請注意，此漏洞特定於 log4j-core，不會影響 log4net、log4cxx 或其他 Apache 日誌服務項目。

Apache Log4j 2.15.0 中針對 CVE-2021-44228 的修復在某些非默認配置中不完整。當日誌配置使用非默認模式布局和上下文查找（例如，${ctx:loginId}）或線程上下文映射模式（ %X、%mdc 或 %MDC）使用 JNDI 查找模式製作惡意輸入數據，從而導致拒絕服務 (DOS) 攻擊。默認情況下，Log4j 2.15.0 盡最大努力將 JNDI LDAP 查找限制為 localhost。Log4j 2.16.0 通過刪除對消息查找模式的支持和默認禁用 JNDI 功能來修復此問題。

當攻擊者對 Log4j 配置具有寫訪問許可權時，Log4j 1.2 中的 JMSAppender 容易受到不可信數據的反序列化。攻擊者可以提供 TopicBindingName 和 配置，導致 JMSAppender 以類似於 CVE-2021-44228 的方式執行 JNDI 請求，從而導致遠程代碼執行。

注意， JMSAppender 不是 Log4j 的默認配置，因此此漏洞 僅在特別配置為 JMSAppender 時才會影響 Log4j 1.2 。事實上 Apache Log4j 1.2 已於 2015 年 8 月終止生命周期。用戶應該升級到Log4j 2，因為它解決了以前版本的許多其他問題。

組織/開源項目的響應

已修復/更新：

不受影響：

影響待定

發布漏洞相關工具

此列表將持續更新 ，俺一個人能力有限，歡迎大家在評論區分享你所了解的公司/組織/開源項目對 Log4shell 漏洞的回應，格式為 公司/組織/項目名稱 | 回應類別（已更新/修復/不受影響等）| 回應鏈接 。 此漏洞影響面太廣，希望大家一起合作，避免更多組織或個人因此受到損失。

『貳』 電子商務網站一般架構有哪些

大型電子商務網站架構，摘抄7.同一個網站的多語言該如何處理是好,使用配置文件然後cookie或url來判別?===客戶是自己公司，使用標准方法即可

8.電子商務網站最多的就是商品的打折方式和積分的贈送了,這里要怎麼設計才好(工廠模式)?===采晌頃購成熟的規則引擎

9.如果同一時間並發大量訂單的話,如果確保一個訂單的有效提交呢?

==電子商務一般要使用MQ，推薦IBMMQ；使用MSMQ也可

第一點是資料庫要設計好，要達到什麼級別，你可能需要考慮哪些表需要拆分，哪些表的核心數據需要冗餘，如果是mysql，還要考慮其他的問題，比如存儲引擎。

新聞肯定是要生成純靜態頁，對資料庫壓力就小很多，不過靜態頁也有管理上的不方便，更新刪除添加都要對磁碟文件進行操作

做一個自定義緩存層，對緩存邏輯進行控制，可以採用第三方緩存模塊，如果使用.net來做，可以層層緩存，頁面緩存，數據緩存（memcache，不過在win下效率不高）

電子商務網站特點就是對事務的嚴格，需要資料庫設計的時候要求高性能，也需要合適的索引，支持高並發，經常對產品表用戶表等進行索引檢查，是否有很多索引掃描和表掃描（即使是局部的，也要將「局部」控制到最小范圍）

mssql語句對不需要事務的查詢要附帶上with(nolock),以利於並發更新。

有些功能模塊不能按照想當然的方式開發，比如產品訪問次數，切不可將這些更新非常頻繁的欄位置於核心表內，明確的做法是將其剝離開來還有就是切不可經常性將欄位設計成bool類型，這樣會給以後的擴展留出路，即使是男女這種欄位，也建議採用tiny類型

其他還有就是在產品設計的時候充分考慮seo，網站目錄結構清晰可讀，而不是帶著一串串的查詢參數。

對安全要有整體的把握，最好全都是用存儲過程，在項目上線前將資料庫存儲過程全部導出再查找貌似exec的語句，查找是否需要替換成sp_executesql。

另外，如果採用mssql，全文搜索直接用mssqlfte就可以，速度和精確度都還是可以的，最重要的是維護和管理開發很簡單。

打折的處理可以按照電信的一次，二次批價功能，如果你做過電信方面的系統。

當然也可以設計得更簡單的一些。靜態的頁面建議使用CDN加速，以解決網通和電信之間訪問速度的問題；

數據的緩存方面建議考慮用memcache，另外也可以分別在表現層和數據層利用.net中的現存緩存機製作業可；

簡單執行的sql可以不用存儲過程，存儲過程會佔用資料庫伺服器的處理時間，造成死鎖；

mvc建議還是做些CMS的項目上應用，電子商城不是很適合，個人觀點。url上可以做轉義，使url顯示更友好；

資料庫建議建立分布資料庫，這樣可以轉移查詢和大訪問量對資料庫帶來壓力；

圖片可以考慮單獨放在一台伺服器上；1.三層架構

2.使用手寫sql,手寫entity(生成也可),緩存反射綁定(不是緩存數據哦,緩存映射關系),要考慮網站的長期發展還是手寫吧靈活性能也好

3.沒有這種問題,商業驅動的,純購物就好了,千萬別搞什麼圈子,wiki

4.純.net的mvc不建議,webform不搞viewstate,不搞服務端控制項(除repeater)再加點mvc的思想已足夠用了

5.不需要緩存數據(除搜索產品部分),要考慮多台伺服器的程序快速部署,config文件會很多,config要序列化緩存

6.當然是先生成好了,參照jd吧,按業務每宴碧陸張圖片對應幾個不同大小的圖

7.據經驗,電子商務網站僅靠中英雙語來達到多語言是不靠譜的(文化用戶習慣不是簡單的語言慧畢切換),如果想真正運營英語的就要重新開發一個版本

8.不搞模式

9.負載均衡(web,db)+ssb非同步處理數據

10.你是業務類型的日誌還是異常日誌?前台訂單流程上異常日誌不需要了,找個工具錄個腳本不停的跑保證隨時發現問題發郵件就可以了

11.找第三方搜索組件類似endeca的

12.負載均衡挺簡單的,初期靠軟體就可以,一切圖片找第三方放cdn,前台網站用到ajax的地方很少,如果用的話jquery1，一個電子商務網站用戶99.5%的行為時Find

2、對於商品檢索部分，能不用資料庫就不用資料庫（網上切詞等相關的開源平台很多）

3、分布式緩存（Memcached、Volecity），個人測試volecity3還是不錯的

4、系統設計時必須要考慮可運營。從這個角度去設計系統

5、對於電子商務網站改動很頻繁，必須考慮架構設計如何適應頻繁的版本更新

6、必須設計一個好的單點登錄系統。

7、建議能不用sqlserver就不用它。

8、對於大型電子商務網站來說，系統的I/O是起決定因素而不是CPU和內存。1.項目劃分是否會有問題,圖中分別是實體層,數據訪問介面層,數據訪問層,業務邏輯介面層,業務邏輯,網站A,B,C

項目劃分其實不重要，重要的的是你在寫代碼的時候是否能把代碼合理的分到對應的項目里。

2.數據訪問層是要開發效率(NBear,Linq,Nh等),還是訪問效率(直接使用sql等)?是否可以先使用開發效率高的,等日後訪問量大了,再重寫並替換數據訪問層?

開發效率優先，訪問量大了以後，我相信是有錢投到硬體上的，在你程序寫的不是很爛的情況下，升級硬體遠比優化程序節省成本。

3.網站被切割成了多個子網站,有一些控制項(如header,footer)是要共享的,如何跨網站項目共享這些控制項呢?

那就做成自定義控制項啦。

4.ms的mvc1.0也出來不少時間了,是否已經夠成熟運用到項目中?或者是網站後台使用webform的,前台使用mvc?

推薦使用使用webform的,前台使用mvc，對於前台來說使用mvc能更好的提升性能，更方便的更換頁面表現形式。後台界面相對穩定，用webform可以提高開發效率。

5.網站數據的緩存是自己開發一個hashtable什麼的來維護呢,還是使用Memcached?

初期建議用hashtable，因為簡單，將來升級到Memcached。

6.縮略圖的處理,我看有的網站是在上傳圖片的時候直接生成,有的是在httpmodle里處理,訪問的時候生成.

直接生成縮略圖的好處是節約性能。httpmodle相反，每次瀏覽圖片的時候都會生成新的圖片，伺服器壓力大，建議直接生成。

7.同一個網站的多語言該如何處理是好,使用配置文件然後cookie或url來判別?

多語言建議使用asp.net自帶的資源文件的方式實現，當前語言保存在cookie裡面。

8.電子商務網站最多的就是商品的打折方式和積分的贈送了,這里要怎麼設計才好(工廠模式)?

規則引擎

9.如果同一時間並發大量訂單的話,如果確保一個訂單的有效提交呢?

使用MQ隊列

10.日誌方面,log4net?

log4net只能記錄程序運行日誌，主要目的是用來調試程序的，系統業務操作日誌還你是得自己建一個表來保存。

11.電子商務的全文檢索,這也是個頭疼的問題

lucene，微軟索引服務，sqlserver全文檢索，方案很多的。

12.負載均衡方面,有什麼好的文章推薦碼?

可以看windows2003集群方面的文章1.項目劃分是否會有問題,圖中分別是實體層,數據訪問介面層,數據訪問層,業務邏輯介面層,業務邏輯,網站A,B,C

目前我也是這樣分的,不過當數據表結構有修改時,會帶動其它層的聯級修改,非常不方便，所以開發之前最好將資料庫設計地完善一點。另外，當網站分成多個以後，其它項目生成的DLL文件要部署到每個網站的bin文件夾里，更新一次都要重新部署，這也是個挺煩人的事，當然可以將DLL部署到GAC里來解決這個問題，不過這樣的話本地調試起來就不太方便了，因為項目一有改動，就要將生成的DLL重新拷貝到GAC里才能看到效果。

2.數據訪問層是要開發效率(NBear,Linq,Nh等),還是訪問效率(直接使用sql等)?是否可以先使用開發效率高的,等日後訪問量大了,再重寫並替換數據訪問層?

這個我也在考慮。目前我還沒有採用ORM框架，都是在DAL里直接訪問DB的。

3.網站被切割成了多個子網站,有一些控制項(如header,footer)是要共享的,如何跨網站項目共享這些控制項呢?

自定義控制項。

4.ms的mvc1.0也出來不少時間了,是否已經夠成熟運用到項目中?或者是網站後台使用webform的,前台使用mvc?

正在學習這一塊。

5.網站數據的緩存是自己開發一個hashtable什麼的來維護呢,還是使用Memcached?

現在我用的比較多的是.net自帶的數據緩存。

6.縮略圖的處理,我看有的網站是在上傳圖片的時候直接生成,有的是在httpmodle里處理,訪問的時候生成.

直接生成好，快一點。

7.同一個網站的多語言該如何處理是好,使用配置文件然後cookie或url來判別?

我沒涉及到這一塊，不過我覺得資源文件應該就是用來處理這個問題的。

8.電子商務網站最多的就是商品的打折方式和積分的贈送了,這里要怎麼設計才好(工廠模式)?

這些都放在邏輯層好了。

9.如果同一時間並發大量訂單的話,如果確保一個訂單的有效提交呢?

MSMQ

10.日誌方面,log4net?

目前我是自已寫代碼存在庫里的。

11.電子商務的全文檢索,這也是個頭疼的問題

用lucene.net分詞建索引，再直接從索引庫里搜索，又快又准。

12.負載均衡方面,有什麼好的文章推薦碼?

不清楚了。這樣的設計要達到新蛋的效果肯定不可能的，新蛋少說幾百台伺服器，不同資料庫之間的發布訂閱鏈路都有幾千條。有復雜的緩存，負載均衡機制。新蛋所有的通訊都是基於WCF的。另外對於這么大型的網站來說，資料庫一刻都不停止，所以讀寫分離也很重要，因為你也不可能讓資料庫停下來進行備份。總歸要做到新蛋這樣的大型電子商務網站，靠你上面畫的這點好像遠遠不夠。

不過關於公共的header,footer,我不建議做成自定義控制項，這個維護起來不方便，稍有變動就要發布dll，麻煩的。

如果你的header和footer不是很大的話，建議採用js+css的方式。然後加上壓縮和cdn緩存，應該效率上能接受。

『叄』 Apache軟體基金會的Apache技術

Apache HTTP伺服器項目主要致力於為現代操作系統開發和維護開源的HTTP伺服器，其中包括Unix和Windows NT。這個項目的主要目標是提供一個可以與當前的HTTP標准同步提供安全、高效和可擴展的伺服器的HTTP服務。自1996年4月以來，Apache就變成了互聯網上最流行的Web伺服器。
主要用戶群：連續13年，Apache HTTP伺服器都是全球Web伺服器的領軍者，為1.13億個網站提供服務。 Apache Tomcat是一個可以執行Java Servlet和JavaServer網頁技術的開源軟體。Apache和Tomcat是相對獨立的，用戶可以通過Apache訪問Tomcat資源，反之亦然，二者可以在同一台伺服器上。Apache Tomcat是由全世界各地的最佳開發者合力研發而來的，是一款非常優異的開源軟體。
用戶群：Tomcat推動了很多不同行業的大型的、關鍵的Web應用程序的發展，其中包括ETrade、沃爾瑪、天氣頻道以及EMC等。 Apache Lucene是一個高性能、全功能的文字搜索引擎圖書館，是由Java語言編寫的。ApacheLucene適用於任何需要全文字搜索的應用程序，特別是跨越平台。一開始，Lucene是由Java語言編寫的，目前已經被移植到其他的語言，其中包括Delphi、Perl、C#、C++、Python、Ruby和PHP等。
用戶群：蘋果在線零售店、CNET、Netflix、維基網路、Yelp、Comcast、LinkedIn、The Smithsonian、多個政府機構(FDA、DOD等)、Technorati、互聯網檔案館（例如AOL黃頁的上下文搜索等）。 Apache Struts是一個用於開發Java EE Web應用程序的開源Web應用程序框架。Apache Struts使用和擴展Java Servlet API去鼓勵開發者採用模型視圖控制器（MVC）構架。
用戶群： IRS、波士頓環球報、大赦國際、Sears、Alamo Car Rental、National Car Rental、Travelocity等等。 Apache Geronimo是Apache軟體基金會的開放源碼J2EE伺服器，它集成了眾多先進技術和設計理念。這些技術和理念大多源自獨立的項目，配置和部署模型也各不相同。Geronimo項目的目標就是產生一個伺服器運行時間框架，將最好的開源替代品匯集到一個統一、易用的模型中，去滿足開發人員和系統管理員的需求。
用戶群：AMD、Chariot Solutions、IBM、Virtuas等。 Apache Ant是由Apache軟體基金會所提供的一個基於Java的開發工具，它是將軟體編譯、測試、部署等步驟聯系在一起加以自動化的一個工具，大多用於Java環境中的軟體開發。
用戶群：大多數的Java設計都被用於管理大量信息流，例如紐約州就使用Apache Ant去管理美國最大的青年計劃，每天可以實時更新超過25萬學生的記錄。 Apache Cocoon是一個基於Spring框架的圍繞分離理念建立的構架，在這種框架下的所有處理都被預先定義好的處理組件線性連接起來，能夠將輸入和產生的輸出按照流水線順序處理。
用戶群：Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry等等，Apache Cocoon通常被作為一個數據抽取、轉換、載入工具或者是系統之間傳輸數據的中轉站。 SpamAssassin是一個由Apache開發的一個著名的反垃圾引擎，郵件系統完整的集成了SpamAssassin反垃圾引擎。SpamAssassin中包含了各種各樣的垃圾郵件監測技術，其中包括基於DNS和checksum的垃圾郵件監測、Bayesian過濾、外部程序、黑名單和在線資料庫等。
用戶群：SpamAssassin被數以千計的獨立開發商和用戶所採用，並被作為數個商業產品的主要成分. Apache Axis是一個基於SOAP應用的框架，核心是一個SOAP處理器，用於開發包括客戶端，伺服器端，SOAP Gateway等各種應用。
用戶群：WSO2、MuleSource IBM、Progress Software等。 Apache Logging Services項目主要是為了提供應用程式除錯以及監督的日誌登錄服務。Apache Logging Services項目的產品包括三個日誌登錄框架，分別為log4j for Java、log4cxx for C++以及log4net for the Microsoft .NET framework。Apache Logging Services還被應用於日誌查看器和分析工具Chainsaw中。
用戶群：Apache Logging在Java開發中無處不在。 Commons是一個主要專注於可再用Java組件所有方面的Apache項目。Apache Commons項目由3個部分組成：
*The Commons Proper—可再用Java組件的貯存處；
*The Commons Sandbox—Java組件的開發工作區；
*The Commons Dormant—沙盒組件的貯存庫。
用戶群：亞馬遜Web服務、谷歌。

『肆』 C#中 怎麼使用 log4Net 日誌文件

log4net(Log For Net)是Apache開源的應用於.Net框架的日誌記錄工具,詳細信息參見Apache網站.它是針對Java的log4j(Log For Java的)姊妹工具.用過log4j的都知道,它功能強大,可配置性靈活,線程安全,對日誌的輸出管理和級別管理方便。

首先你應該下載log4net.dll並引入到你的項目References中,或者把源代碼項目作為你工程的一部分加入到你的工程當中。
使用log4net需要知道其中兩個比較重要的概念:logger 和 appender。前者是日誌記錄對象,後者是日誌記錄的目標，包括控制台,文件,定量大小的文件,遠程廣播。也就是說我們使用log4net的過程可以是這樣的:獲得一個用來記錄日誌的工具對象logger,然後為logger對象指定日誌的記錄位置.美妙的是,這一切工作都可以在Web.config配置文件中完成,所用的代碼極少.
其配置如下：
先在web.config中的節點下添加如下配置：

用過web.config自定義節點的朋友都知道，還應該配置log4net節點，接下來在節點下添加如下log4net節點配置：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

從上面的配置中可以看到定義了多個appender，每一個appender就是一個日誌記錄的目標。root節點指定了選用哪一個 appender. 在這里我選用了LogFileAppender。
到這里配置就基本上完成了，但是怎麼使用上面的配置呢？log4net為我們提供了在應用程序啟動時載入配置信息的入口，很簡單，在Global.asax.cs的Application_Start過程中添加如下代碼：
log4net.Config.DOMConfigurator.Configure();
好了，到此為止整個配置過程完成了，下面是怎麼調用的問題了。
新建一個log4nettest.aspx頁面,在cs文件中添加引用 using log4net;定義本頁的一個全局變數:
private static readonly ILog log = LogManager.GetLogger(typeof(log4nettest));
然後在Page_Load中添加如下代碼:log.Debug("這是我在使用Log4Net");運行該頁面,在C:\下面會生成一個Applog.txt文本文件,打開看看,裡面就有你寫入的日誌。

『伍』 log4是什麼意思

表示數學術語：對數

如果ab=n，那麼logan=b。其中，a叫做「底數」，n叫做「真數」，b叫做「以a為底的n的對數」。logan=b函數叫做對數函數。對數函數中n的定義域是n>0，零和負數沒有對數；a的定義域是a>0且a≠1。

(5)log4net配置工具擴展閱讀

對數函數的性質：

1、定點：對數函數的函數圖像恆過定點（1，0）

2、單調性：a>1時，在定義域上為單調增函數

3、0<a<1時，在定義域上為單調減函數

4、奇偶性：非奇非偶函數

5、周期性：不是周期函數

對數函數滿足對數的運演算法則：

1、log(a) (M·N）=log(a) M+log(a) N

2、log(a) (M÷N)=log(a) M-log(a) N

3、log(a) M^n=nlog(a) M

4、log(a)b*log(b)a=1

5、log(a) b=log (c) b÷log (c) a