imported>Zeikonaut: Typo ausgebessert in Kommentar eines Weblinks

2025-12-15T23:43:10Z

Typo ausgebessert in Kommentar eines Weblinks

Neue Seite

{{Infobox Software
| Name = Log4j
| Logo =
| Screenshot =
| Beschreibung = 
| Maintainer = Scott Deboy, Ralph Goers, Gary Gregory, Christian Grobmeier
| Hersteller = [[Apache Software Foundation]]
| Management =
| AktuelleVersion = 
| AktuelleVersionFreigabeDatum = 
| AktuelleVorabVersion =
| AktuelleVorabVersionFreigabeDatum =
| Betriebssystem = [[plattformübergreifend]]
| Programmiersprache = [[Java (Programmiersprache)|Java]]
| Kategorie =
| Lizenz = [[Apache-Lizenz]] 2.0
| Deutsch =
| Website = [https://logging.apache.org/ logging.apache.org]
}}

'''Log4j''' ist ein [[Framework]] für das [[Logging]] von Anwendungsmeldungen in [[Java (Programmiersprache)|Java]].
Innerhalb vieler [[Open Source|Open-Source]]- und kommerzieller Softwareprodukte hat es sich über die Jahre zu einem [[Industriestandard|De-facto-Standard]] entwickelt. Log4j gilt als Vorreiter für andere Logging-Frameworks, auch in anderen Programmiersprachen.

== Geschichte ==
[[Datei:Log4js.png|mini|Logo von Log4js]]
Das Projekt wurde von Ceki Gülcü 1996 während seiner Arbeit am [[IBM]]-Entwicklungslabor in Zürich gegründet. Heute ist es ein Teil des [[Apache Logging|Logging]]-Projekts der [[Apache Software Foundation]] und steht unter der [[Apache-Lizenz]] 2.0. Es entstand zu einer Zeit, als es in den Java-Standardbibliotheken noch keine Logging-Mechanismen gab. Heutzutage ist es durch seine Ausgereiftheit und Konfigurierbarkeit für viele [[Softwareentwickler]] das Log-System der ersten Wahl.

Die Ausstrahlung der Log4j-Konzepte auf andere Programmiersprachen bzw. Plattformen ist so groß, dass es mittlerweile etliche Adaptionen gibt. Einige werden vom Apache Logging Projekt selbst gepflegt. Zum Beispiel:

* log4cxx für [[C++]] mit zu Log4J kompatiblen Konfigurationsdateien
* log4Net für das [[.Net-Framework]]
* log4php für [[PHP]]

Viele Varianten werden jedoch außerhalb von Apache Logging entwickelt:

* log4C für [[C (Programmiersprache)|C]]
* log4cplus für [[C++]]
* log4cpp für C++
* Log4Qt für [[Qt (Bibliothek)|Qt]]
* Log4js für [[JavaScript]]
* log4perl für [[Perl (Programmiersprache)|Perl]]
* log4D für [[Borland Delphi|Delphi]]
* log4sh für [[Unix-Shell]]s
* log4plsql für [[PL/SQL|Oracle PL/SQL]]
* log4sas für [[SAS Institute]]
* AndroidLoggingLog4J<ref>{{Internetquelle |autor=Rolf Kulemann |url=http://code.google.com/p/android-logging-log4j/ |titel=android-logging-log4j |titelerg=Logging with Log4J in [[Android (Betriebssystem)|Android]] ¦ providing LogCat appender and configuration facade |abruf=2011-11-29}}</ref>
* Modul ''logging'' für [[Python (Programmiersprache)|Python]]<ref>{{Internetquelle |url=https://docs.python.org/release/2.5.2/lib/module-logging.html |titel=14.5 logging -- Logging facility for Python |abruf=2020-03-16}}</ref>
* logger für [[LabVIEW]]<ref>{{Internetquelle |url=https://www.vipm.io/package/field_rnd_services_logger/ |titel=Logger Toolkit for LabVIEW – Download – VIPM by JKI |abruf=2022-02-10}}</ref>

Seit Juli 2014 ist Log4j 2 als Nachfolger des Log4j 1.x verfügbar.

== Das Apache-Logging-Projekt ==

Das [[Apache Logging|Apache-Logging]]-Projekt versucht, Log4j-ähnliche Systeme für diverse Programmiersprachen zusammenzuführen. Bisher sind das log4j, log4cxx, log4net, log4php<ref name="apache log4php">{{Internetquelle |url=https://logging.apache.org/log4php/ |titel=Apache log4php – Welcome – Apache log4php |abruf=2020-03-16}}</ref> und Chainsaw (ein Logdatei-Betrachter und -Analysewerkzeug).<ref name="apache logging">{{Internetquelle |url=https://logging.apache.org/index.html |titel=Welcome – Apache Logging Services |abruf=2020-03-16}}</ref>

Außerdem werden sogenannte Companions entwickelt, die zusätzliche Funktionalität für Apache Log4j bereitstellen.

== Funktionsweise ==
Anstatt auftretende Fehler und Infomeldungen auf der Standardausgabe auszugeben, dient Log4j dazu, die Meldungen über sogenannte Logger an das gewählte Ausgabeziel weiterzuleiten („Appender“).<ref>{{Internetquelle |url=https://logging.apache.org/log4j/2.x/manual/appenders.html |titel=Log4j 2 Appenders |werk=Apache Logging Services Project |sprache=en |abruf=2023-01-02}}</ref> Neben der Auswahl des Ausgabeziels (z. B. eine [[Logdatei]]) wird gleichzeitig aufgrund der Wichtigkeit („Log-Level“) der Meldung entschieden, ob diese überhaupt weitergeleitet wird. Der Programmierer muss sich beim Erstellen des Programms nur um die Wichtigkeit der Meldungen Gedanken machen. Für eine Meldung können mehrere Appender mit unterschiedlicher Wichtigkeit angeschlossen werden, so dass ein Appender hier die Rolle eines [[Kanal (Informationstheorie)|Kanals]] spielt. Die Filterung und Art der Ausgabe kann zur Laufzeit konfiguriert werden.

Log4j ist auf möglichst hohe Geschwindigkeit ausgelegt, damit das Protokollieren die Systemleistung nicht negativ beeinflusst. So dauert die Entscheidung, ob eine Meldung ausgegeben werden muss, auch auf einem veralteten System (AMD Duron mit 800 MHz, JDK 1.3.1) nur 5 Nanosekunden, die Ausgabe selbst – je nachdem, welches Layout verwendet wird – zwischen 21 und 37 Mikrosekunden.<ref name="log4j">{{Internetquelle |url=https://logging.apache.org/log4j/1.2/index.html |titel=Apache log4j 1.2 - |sprache=en |abruf=2020-03-16}}</ref>

=== Ausgabe-Umfang ===
In der Konfigurationsdatei kann die Ausgabe je nach ''Wichtigkeit'' der Nachrichten gefiltert werden. Der Ausgabe-Umfang sinkt mit der zugewiesenen Wichtigkeitsstufe und umfasst alle Nachrichten der Stufe selbst sowie aller noch dringenderen Stufen. Die Reihenfolge stellt sich dabei wie folgt dar: <code>ALL</code> → <code>TRACE</code> → <code>DEBUG</code> → <code>INFO</code> → <code>WARN</code> → <code>ERROR</code> → <code>FATAL</code> → <code>OFF</code>.

Für die Einstufung der Wichtigkeit gelten folgende Richtwerte:
; <code>ALL</code>: Alle Meldungen werden ungefiltert ausgegeben
; <code>TRACE</code>: ausführlicheres Debugging (ab Version 1.2.12<ref>{{Internetquelle |url=https://logging.apache.org/log4j/1.2/apidocs/org/apache/log4j/Level.html#TRACE |titel=Level (Apache Log4j 1.2.17 API) |hrsg=Logging.apache.org |datum=2012-06-09 |abruf=2014-07-24}}</ref>), Kommentare
; <code>DEBUG</code>: allgemeines Debugging (Auffinden von Fehlern)
; <code>INFO</code>: allgemeine Informationen (Programm gestartet, Programm beendet, Verbindung zu Host <code>Foo</code> aufgebaut, Verarbeitung dauerte soundsoviel Sekunden …)
; <code>WARN</code>: Auftreten einer unerwarteten Situation
; <code>ERROR</code>: Fehler (Ausnahme wurde abgefangen. Bearbeitung wurde alternativ fortgesetzt)
; <code>FATAL</code>: Kritischer Fehler, [[Programmabbruch]]
; <code>OFF</code>: Logging ist deaktiviert

=== Appender ===
Mittels Appender kann das Ausgabeziel/können die Ausgabeziele der erzeugten Protokollausgaben festgelegt werden.

Nachfolgend die wichtigsten Appender-Arten:
; <code>ConsoleAppender</code>: Gibt auf Standardausgabe aus
; <code>FileAppender</code>: Schreibt in eine Datei
; <code>RollingFileAppender</code>: Beginnt eine neue Datei ab einer gewissen Größe
; <code>DailyRollingFileAppender</code>: Beginnt zu gewissen Zeiten mit einer neuen Datei
; <code>SyslogAppender</code>: Protokolliert mittels [[Syslog]]-Dienst
; <code>JDBCAppender</code>: Schreibt in eine [[Datenbank]]
; <code>NTEventLogAppender</code>: Schreibt ins [[Ereignisprotokoll]] des Windows-Systems
; <code>SMTPAppender</code>: Schickt bei gewissen Meldungen eine Mail.
; <code>SocketAppender</code>: Sendet die Protokollnachricht an einen konfigurierten Socket-Listener.
; <code>LogCatAppender</code>: Protokolliert in den Android <code>LogCat</code>
Weitere Appender können jederzeit hinzugefügt werden.

=== Konfiguration ===
Es gibt drei Arten, Log4j zu konfigurieren: mittels einer [[Java-Properties-Datei|Properties-]] oder einer [[Extensible Markup Language|XML]]-Datei oder im Programmcode. Es wird empfohlen, eine [[Java-Properties-Datei|Properties-]] oder [[Extensible Markup Language|XML]]-Datei zu verwenden, damit ist die Konfiguration vom Code getrennt, was es ermöglicht, ohne Modifikation oder Neustart der Applikation die Konfiguration des Loggings anzupassen. Somit kann beispielsweise eine Applikation so lange nur mit der Wichtigkeitsstufe ''FATAL'' betrieben werden, bis ein Fehler auftritt. Ab dann wird die Stufe ''WARN'' gesetzt, ohne die Applikation anzuhalten.

Die Konfigurationsdateien definieren mittels der folgenden Komponenten das Verhalten von Log4j:
; Appender
: Diese bestimmen mittels Konfiguration der entsprechenden Appender-Klasse, wohin die Protokollausgaben geschrieben werden sollen, und mittels Konfiguration des Layouts, wie dorthin geschrieben werden soll. Neben der reinen Nachricht können mittels Muster zusätzlich Wichtigkeit, Datum, Name des Loggers, Klassenname und Methodenname bis hin zur genauen Codezeile ausgegeben werden.
; Logger
: Ein Logger ist ein Objekt, welches die Protokollierungsaufgaben einer Klasse übernimmt. Es wird über seinen Namen identifiziert. Üblicherweise wird der Klassenname als Name für den Logger verwendet. Es ist allerdings auch möglich, einen Fantasie-Namen zu verwenden, der von mehreren Klassen benutzt wird. Ein typisches Beispiel könnte so aussehen: <code>Logger log = Logger.getLogger(org.wikipedia.MyClass)</code>.<br /> Damit kann das Protokollierungsverhalten einer Klasse gesteuert werden. Da der Logger auch die Paket-Informationen erhält, ist es auch möglich Logging für ganze (Super)-Pakete zu konfigurieren.<br /> Die Konfigurationsdatei kann dann eben den Logger-Namen – also z. B. „org.wikipedia.MyClass“ – und auch die gewünschte Wichtigkeitsstufe (Log-Level) enthalten. Es ist wie bereits erwähnt möglich, eine Konfiguration für ein Paket wie „org.wikipedia“ festzulegen.<br /> Darüber hinaus können entweder allgemein oder auch zu jedem Logger spezifisch ein oder mehrere Appender definiert werden. Somit ist es beispielsweise möglich, fatale Fehler nicht nur in eine Datei zu schreiben, sondern auch gleichzeitig per E-Mail an einen Administrator zu schicken.<br /> Log4j 2.0 bietet neben diesen klassischen Konfigurationen auch modernere Möglichkeiten an, in das Protokollierungsverhalten einzugreifen. Beispielsweise werden sogenannte Marker unterstützt.

Ein weiteres nützliches Merkmal ist der Mapped Diagnostic Context. Dabei wird einer Kontextvariablen ein Wert zugewiesen und in der Konfigurationsdatei kann darauf referenziert werden. Dabei hat jeder Thread seinen eigenen Kontext und kann zusätzliche Informationen wie z. B. die Adresse des Clients bei einer Serveranwendung protokollieren.

==== Beispiel ====
Die folgende XML-Konfiguration konfiguriert eine Applikation so, dass FATAL-Fehler von Fremdbibliotheken auf die Konsole protokolliert werden, ERROR-Fehler der eigenen Applikation zusätzlich auch per E-Mail geschickt werden, bei einer spezifischen Komponente darüber hinaus auch noch INFO-Meldungen protokolliert werden und bei einer bestimmten Klasse sogar noch DEBUG-Meldungen.

<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE log4j:configuration PUBLIC "-//APACHE//DTD LOG4J 1.2//EN"
"http://logging.apache.org/log4j/1.2/apidocs/org/apache/log4j/xml/doc-files/log4j.dtd">
<log4j:configuration>

<appender name="Konsole" class="org.apache.log4j.ConsoleAppender">
<layout class="org.apache.log4j.PatternLayout">
<param name="ConversionPattern"
value="%d{ABSOLUTE} %5p %c{1}:%L - %m%n" />
</layout>
</appender>


<appender name="mail" class="org.apache.log4j.net.SMTPAppender">
<param name="SMTPHost" value="smtp.myservername.xx" />
<param name="From" value="email@fromemail.xx" />
<param name="To" value="toemail@toemail.xx" />
<param name="Subject" value="[LOG] ..." />
<param name="BufferSize" value="1" />
<param name="threshold" value="error" />
<layout class="org.apache.log4j.PatternLayout">
<param name="ConversionPattern"
value="%d{ABSOLUTE} %5p %c{1}:%L - %m%n" />
</layout>
</appender>


<logger name="com.myapp">
<level value="error"/>
<appender-ref ref="Konsole" />
<appender-ref ref="mail" />
</logger>


<logger name="com.myapp.mycomponent">
<level value="info"/>
</logger>


<logger name="com.myapp.mycomponent.MyClass">
<level value="debug"/>
</logger>


<root>
<level value="fatal" />


<appender-ref ref="Konsole" />
</root>
</log4j:configuration>
</syntaxhighlight>

== Apache Log4j 2 ==
Version 2 wurde von Grund auf neu geschrieben, auch wenn Teile von Log4j 1.x übernommen wurden. Die neue Version verfügt über eine moderne Schnittstelle, wie sie auch von [[logback]] bekannt ist. Außerdem unterstützt sie [[Simple Logging Facade for Java|slf4j]] native. Zugleich wurden Schwächen von logback analysiert und versucht zu verbessern. Somit verliert Log4j 2 beispielsweise keine Logging-Events, wenn sich das System neu konfiguriert. Außerdem wurde eine Plugin-Architektur bereitgestellt und die Konfiguration mittels [[JavaScript Object Notation|JSON]] ermöglicht.<ref name="log4j2">{{Internetquelle |url=https://grobmeier.solutions/the-new-log4j-2-0-05122012.html |titel=The new log4j 2.0 |abruf=2020-03-16}}</ref>

Das Projekt gab im August 2015 bekannt, dass der 1.x'''‐'''Zweig das „End of Life“ erreicht hat und damit die Weiterentwicklung eingestellt wird. Entwickler werden deswegen gebeten, auf den 2.x'''‐'''Zweig zu migrieren.<ref>{{Internetquelle |url=https://logging.apache.org/log4j/2.x/manual/migration.html |titel=Log4j – Migrating from Log4j 1.x to 2.x |abruf=2022-01-12}}</ref><ref>{{Internetquelle |url=https://logging.apache.org/log4j/1.2/ |titel=Apache log4j 1.2 - |abruf=2022-01-12}}</ref>

Auf der Website von Apache werden einige Unterschiede zwischen Log4j 1 und Log4j 2 aufgelistet.<ref>{{Internetquelle |url=https://logging.apache.org/log4j/2.x/manual/migration.html |titel=Log4j – Migrating from Log4j 1.x |abruf=2020-03-16}}</ref>

=== Log4j 2 Konfigurationsbeispiel ===
In Log4j 2 hat sich die Syntax der Konfiguration geändert. Es folgt eine beispielhafte Konfigurationsdatei nach dem neuen Standard:

<syntaxhighlight lang="xml">
<?xml version="1.0" encoding="UTF-8" ?>
<Configuration >
<Properties>
<Property name="logfile">C:/logs/logfile</Property>
<Property name="LOG_PATTERN">%d{dd.MM.yyyy - HH:mm:ss} %-5p [%t] - %C - %M - %m%n</Property>
</Properties>

<Appenders>

<Console name="Konsole" target="SYSTEM_OUT">
<ThresholdFilter level="DEBUG" onMatch="ACCEPT" onMismatch="DENY" />
<PatternLayout pattern="${LOG_PATTERN}"/>
</Console>


<RollingFile name="DEBUG_LOG"
fileName="${logfile}_Debug.log"
filePattern="${logfile}_Debug-%i.log">
<ThresholdFilter level="DEBUG" onMatch="ACCEPT" onMismatch="DENY" />
<PatternLayout pattern="${LOG_PATTERN}" />
<Policies>
<TimeBasedTriggeringPolicy />
<SizeBasedTriggeringPolicy size="20000KB" />
</Policies>
<DefaultRolloverStrategy max="20" />
</RollingFile>


<RollingFile name="ERROR_LOG"
fileName="${logfile}/${project}_Error.log"
filePattern="${logfile}/${project}_Error-%i.log">
<ThresholdFilter level="ERROR" onMatch="ACCEPT" onMismatch="DENY" />
<PatternLayout pattern="${LOG_PATTERN}" />
<Policies>
<TimeBasedTriggeringPolicy />
<SizeBasedTriggeringPolicy size="20000KB" />
</Policies>
<DefaultRolloverStrategy max="20" />
</RollingFile>
</Appenders>
<Loggers>

<logger name="com.myapp" additivity="false">
<AppenderRef ref="DEBUG_LOG" />
<AppenderRef ref="ERROR_LOG" />
<AppenderRef ref="Konsole" />
</logger>

<Root level="all">
<AppenderRef ref="Konsole" />
</Root>
</Loggers>
</Configuration>
</syntaxhighlight>

== Bekanntwerden einer Sicherheitslücke im Dezember 2021 ==
Am 10. Dezember 2021 wurde eine [[Exploit#Zero-Day-Exploit|Zero-Day-Lücke]] in Log4j-Version 2 bekannt ([[Common Vulnerabilities and Exposures|CVE]]-2021-44228,<ref>[https://www.cvedetails.com/cve/CVE-2021-44228/ Vulnerability Details : CVE-2021-44228], auf cvedetails.com</ref> oft als '''Log4Shell''' bezeichnet), die Angreifer ausnutzen konnten, um Code auf dem jeweiligen Hostsystem auszuführen ([[Remote Code Execution]]) und somit zum Beispiel Rechenleistung von den infizierten Servern zu benutzen, um [[Krypto-Mining]] zu betreiben.<ref>{{Internetquelle |autor=Robin Wille |url=https://www.businessinsider.de/wirtschaft/warnstufe-rot-vor-dieser-sicherheitsluecke-in-server-software-warnt-das-bundesamt-fuer-sicherheit-in-der-it/ |titel=Warnstufe Rot: Vor dieser Sicherheitslücke in Server-Software warnt das Bundesamt für Sicherheit in der IT |datum=2021-12-12 |sprache=de-DE |abruf=2022-11-27}}</ref> Die Schwachstelle wurde vom [[Alibaba Cloud|Alibaba-Cloud-Sicherheitsdienst]] an Apache gemeldet. Aufgrund der weiten Verbreitung von Log4j und der einfach auszunutzenden Schwachstelle bezeichneten Fachleute die Meldung als „Größte Schwachstelle in der Geschichte des modernen Computing“.<ref>{{Literatur |Autor=Stephan Finsterbusch, Thiemo Heeg |Titel=Softwarelücke Log4j: „Größte Schwachstelle in der Geschichte des modernen Computing“ |Sammelwerk=FAZ.NET |ISSN=0174-4909 |Online=https://www.faz.net/aktuell/wirtschaft/unternehmen/log4j-softwareluecke-ist-laut-bsi-aeusserst-ernst-zu-nehmen-17682526.html |Abruf=2022-11-27}}</ref><ref name=":1">{{Internetquelle |autor=Peter Sieben |url=https://www.ingenieur.de/technik/fachbereiche/ittk/log4j-sicherheitsluecke-warum-der-fehler-unvermeidbar-war/ |titel=Log4J-Sicherheitslücke: Warum der Fehler unvermeidbar war – ingenieur.de |datum=2021-12-23 |sprache=de-DE |abruf=2022-11-27}}</ref>

Zahlreiche Softwareentwickler, Dienstanbieter, Unternehmen und Behörden waren potentiell betroffen, unter anderem [[Amazon Web Services]], [[Steam]] und [[iCloud]].<ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/news/Kritische-Zero-Day-Luecke-in-log4j-gefaehrdet-zahlreiche-Server-und-Apps-6291653.html |titel=Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps |sprache=de |abruf=2021-12-10}}</ref><ref name=":0">{{Literatur |Autor=Max Hoppenstedt |Titel=Log4-J-Schwachstelle: »Leider machen auch Hacker Überstunden« |Sammelwerk=Der Spiegel |Datum=2021-12-12 |Online=https://www.spiegel.de/netzwelt/web/log4-j-schwachstelle-ja-leute-die-scheisse-brennt-lichterloh-a-760bd03d-42d2-409c-a8d2-d5b13a9150fd |Abruf=2021-12-12}}</ref><ref name=":1" /> Laut [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) ergaben Berichte von [[Computer Emergency Response Team|CERT]]-Quellen, dass weltweite Massenscans und versuchte Kompromittierungen, sowie laut [[F-Secure]] auch [[Ransomware]]-Angriffe im Zuge der Zero-Day-Lücke stattfanden.<ref>{{Internetquelle |url=https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=3 |titel=Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228) |werk=www.bsi.bund.de |format=PDF |abruf=2021-12-14}}</ref><ref name=":0" /> Das BSI verwies auf eine „unvollständige Auflistung“ von 140 Unternehmen, die besonders anfällig seien, schätze die direkte Bedrohung für Endanwender jedoch als eher gering ein.<ref>{{Internetquelle |autor= |url=https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 |titel=BlueTeam CheatSheet * Log4Shell* {{!}} Last updated: 2021-12-14 0006 UTC |sprache=en |abruf=2021-12-14}}</ref><ref name=":0" /><ref name=":1" />

Bekannte Fälle, in denen die Sicherheitslücke kriminell ausgenutzt wurde, sind (Auswahl):<ref>{{Internetquelle |autor=Christof Kerkmann |url=https://www.handelsblatt.com/technik/it-internet/java-bibliothek-log4j-gefaehrliche-sicherheitsluecke-die-angriffe-auf-unternehmen-und-behoerden-beginnen-/27900826.html |titel=Gefährliche Sicherheitslücke: Die Angriffe auf Unternehmen und Behörden beginnen |werk=handelsblatt.com |datum=2021-12-17 |abruf=2021-12-18}}</ref>

* Am 9. Dezember wurde der erste Angriff auf einen Server des Spiels [[Minecraft]] dokumentiert.<ref name=":1" />
* Am 16. Dezember 2021 wurden mit dem Internet verbundene Systeme des belgischen Militärs über die Lücke angegriffen.<ref>{{Internetquelle |url=https://www.spiegel.de/netzwelt/web/log4j-schwachstelle-belgisches-militaer-von-angriff-ueber-sicherheitsluecke-betroffen-a-aaf2d48c-84e8-4839-8f0b-77a1c4031fdd |titel=Log4j-Schwachstelle: Belgisches Militär von Angriff über Sicherheitslücke betroffen – Der Spiegel |werk=spiegel.de |datum=2021-12-21 |abruf=2021-12-23}}</ref>
* Am 17. Dezember 2021 wurde die Website des [[Bundesfinanzhof]]s wegen einer solchen Attacke abgeschaltet.<ref>{{Internetquelle |url=https://www.faz.net/aktuell/wirtschaft/digitec/log4j-nach-hackerangriff-schaltet-bundesfinanzhof-website-ab-17689399.html |titel=Schwachstelle Log4j: Bundesfinanzhof schaltet Website nach Hackerangriff ab |werk=faz.net |datum=2021-12-17 |abruf=2021-12-17}}</ref>
Die Schließung der Sicherheitslücke war nach kurzer Zeit über eine [[Softwareaktualisierung]] möglich, die Umsetzung durch die jeweils betroffenen Softwarehersteller zog sich jedoch aufgrund der Komplexität der Nutzung von Log4j über mehrere Wochen und teilweise sogar Monate hin.<ref>{{Internetquelle |autor=Alexander Klay |url=https://www.morgenpost.de/vermischtes/article234077919/log4j-bsi-zero-day-sicherheitsluecke.html |titel=Log4j: Was über die Sicherheitslücke bekannt ist und wie man sich schützt |datum=2021-12-13 |sprache=de-DE |abruf=2022-11-27}}</ref> Im März 2023, 15 Monate nach Entdeckung und Schließung der Sicherheitslücke, waren immer noch mehr als ein Drittel der täglich heruntergeladenen Versionen von Log4j von der Sicherheitslücke betroffen. Dies wird auf automatische [[Softwareverteilung]] und -downloads durch Abhängigkeiten zurückgeführt.<ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/meinung/Log4Shell-Open-Source-als-Gefahr-fuer-die-Software-Lieferkette-7606506.html |titel=Log4Shell: Open Source als Gefahr für die Software-Lieferkette |sprache=de |abruf=2023-03-22}}</ref>

== Alternativen ==
* Java Logging – seit Java 1.4 Bestandteil der Java-Klassenbibliothek; ähnlich wie Log4j, weniger Appender, kein PatternLayout
* [[Apache Commons]] Logging – Schnittstelle für beliebig austauschbare Logging-Frameworks, unter anderem Log4j
* tinylog – schlankes Logging-Framework mit einem statischen Logger<ref>{{Internetquelle |url=https://tinylog.org/v2/ |titel=tinylog 2 – Lightweight Logging Framework for Java, Scala, Kotlin, and Android |abruf=2021-12-31}}</ref>
* slf4j mit logback – weit verbreitete moderne Alternative

== Literatur ==
* Samudra Gupta: ''Pro Apache Log4j.'' Apress, 22. Juni 2005, ISBN 978-1-59059-499-5, http://www.apress.com/book/view/9781590594995
* Ceki Gülcü: ''The Complete Log4j Manual.'' QOS.ch, 7. Mai 2003, ISBN 978-2-9700369-0-6, [https://books.google.de/books?id=hZBimlxiyAcC Leseprobe auf Google Books]

== Weblinks ==
* [https://logging.apache.org/log4j/ log4j-Webseiten] (englisch)
** [https://logging.apache.org/log4j/1.2/manual.html Manual] und [https://logging.apache.org/log4j/1.2/publications.html Artikel] (englisch)
* [http://wiki.apache.org/logging-log4j/Log4JProjectPages log4j-Wiki] (englisch, nur für registrierte Benutzer)
* [https://www.laliluna.de/articles/posts/log4j-tutorial.html Log4j Einführung mit Tomcat-Beispielen] von Sebastian Hennebrueder
* [https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228 CVE-2021-44228]
* {{Internetquelle
|url=https://www.heise.de/meinung/Kommentar-zu-log4j-Es-funktioniert-wie-spezifiziert-6294476.html
|titel=Kommentar zu Log4j: Es funktioniert wie spezifiziert
|werk=[[heise.de]]
|datum=2021-12-14
|abruf=2021-12-16}}
* {{Internetquelle
|autor=Ruth Fulterer
|url=https://www.nzz.ch/technologie/log4j-wurde-1997-in-der-schweiz-entwickelt-der-erfinder-erzaehlt-ld.1660571
|titel=Log4j wurde 1997 in der Schweiz entwickelt – der Erfinder erzählt
|werk=[[Neue Zürcher Zeitung]]
|datum=2021-12-16
|abruf=2021-12-16
|kommentar=Bericht über ein Gespräch mit dem Entwickler Ceki Gülcü nach der Entdeckung der Sicherheitslücke}}
* {{Internetquelle |url=https://www.faz.net/aktuell/wirtschaft/unternehmen/log4j-entwickler-man-muss-aufpassen-nicht-durchzudrehen-17685794.html |titel=Man muss aufpassen, nicht durchzudrehen |werk=[[Frankfurter Allgemeine Zeitung]] |datum=2021-12-16 |abruf=2021-12-16 |kommentar=Interview mit dem Entwickler Christian Grobmeier nach der Entdeckung der Sicherheitslücke, hinter Bezahlschranke}}
* {{Internetquelle |url=https://www.br.de/mediathek/podcast/wild-wild-web/das-wichtigste-hobby-der-welt/2108090 |titel=Das wichtigste Hobby der Welt |werk=[[Bayerischer Rundfunk]] |datum=2025-07-03 |abruf=2025-07-06 |kommentar=Interview mit dem Entwickler Christian Grobmeier, der mit Selbstzweifeln kämpft und ein neues Hobby findet, das sein Leben ändert. Ein Deep Dive in die Welt der Open Source Maintainer, einer Gruppe freiwilliger Programmierer, die das Internet für uns alle am Laufen hält und dabei immer mehr unter Druck gerät.}}

== Einzelnachweise ==
<references />

[[Kategorie:Java-Bibliothek]]
[[Kategorie:Freie Systemsoftware]]
[[Kategorie:Apache-Projekt]]
[[Kategorie:Software-Sicherheitslücke]]

Log4j - Versionsgeschichte

imported>Zeikonaut: Typo ausgebessert in Kommentar eines Weblinks