loggers

Log4j 2 インストール手順

緊急・厳重注意
2021年12月10日、Log4J2ライブラリに致命的なセキュリティホールが発見されました(RedHatによる危険度レベルは「10段階中の9.8」であり、世界中で警戒が呼びかけられる事態に発展しています)。サーバーを遠隔操作させてしまったり、システムの動作を中断させられてしまう恐れがあるため、必ず、2.17.1以上のバージョンを利用するようにしてください。2.17.1未満(2.16.x以下)をご利用の場合は、ライブラリのバージョンを上げるか、公式に案内がある方法を用いて対策を緊急で行ってください。特に商用システムを運用中の場合、利用ライブラリ内やミドルウェア内で利用がないかも含めご確認ください。

参考 Log4Jの自社システムでの使用を調べる方法、バージョンの確認方法は以下の通りです。

参考 当脆弱性の書籍『スッキリわかるJava入門』やdokojavaへの影響は以下の通りです。

step
1
Log4j 2のサイトにアクセス

Apacheソフトウェア財団のLog4j 2ページ( https://logging.apache.org/log4j/2.x/ )にアクセスします。

step
2
ダウンロードページへ移動

トップページ左側のメニュー「Download」をクリックすると、ダウンロードページに移動します。

step
3
ダウンロード

「Download Apache Log4j 2」の「Apache Log4j 2 binary (zip)」にある「apache-log4j-2.x.x-bin.zip」をクリックし、zipファイルを適当なフォルダに保存します(x.xの部分は最新版の数字に読み替えてください。2023.12現在の最新版は2.22.0)。

注意
特に2.16.X以下のバージョンは致命的なセキュリティホールを抱えています。2.17.1以上のバージョンを利用するようにしてください。

※Log4J 2.13以降ではJava8以降が必要です。Java6や7の環境で利用する方はページ下部の「Previous Releases」から対応バージョンのファイルをダウンロードしてください。その際、「2.12.2未満」はCVE-2021-44832脆弱性を含んでいるため、必ず2.12.4以上を使うようにしてください。

step
4
JARファイルを配置する

保存したzipファイルをローカルフォルダに展開します。

zipファイルの中にある、「log4j-api-2.x.x.jar」「log4j-core-2.x.x.jar」がLog4j 2の本体です。このjarファイルを適当なフォルダへ保存し、Log4j 2を利用したいJavaプロジェクトにクラスパスを通します。

-loggers
-