安全/加密 log4j 文件

java encryption log4j

2022-09-02 22:08:22

我有一个问题 ;安全要求我有java swing应用程序，该应用程序具有使用log4j生成的日志记录文件，以便在跟踪错误时出现支持问题。

我必须对文件进行加密/加密/保护，以便客户端无法打开它们并看到它们（至少不是人类可读的方式），同时当支持技术团队获取这些文件时，他们将知道如何读取（解密）它们。

我做了很多搜索，我尝试了我找到的最佳选择，即通过扩展来构建自定义附加器。SkeletonAppender

现在知道我有log4j在下面的配置中工作得很好，但我创建了新的类来加密它，但即使使用简单的设置，我也无法让它工作，它剂量不创建文件，所以我可以继续在ecnryption部分。

任何帮助，链接都很好。

加工。。。版本

<appender name="cache" class="com.MyAppender">  
            <param name="Threshold" value="ALL" />
            <param name="ImmediateFlush" value="true" />  
            <param name="File" value="${home}/logs/cache.log"/> 
            <param name="Append" value="true"/>
            <param name="Threshold" value="ALL" />
            <param name="Encoding" value="UTF-8" />

            <layout class="org.apache.log4j.EnhancedPatternLayout">
            <param name="ConversionPattern" value="%-5p %d{MMM-dd-yyyy HH:mm:ss,SSS} %c{1} - %m%n" />
        </layout>
    </appender>

不工作...版本

   <appender name="cache" class="com.MyAppender">   
            <param name="Threshold" value="ALL" />
            <param name="ImmediateFlush" value="true" />  
            <param name="File" value="${home}/logs/cache.log"/> 
            <param name="Append" value="true"/>
            <param name="Threshold" value="ALL" />
            <param name="Encoding" value="UTF-8" />

            <rollingPolicy class="org.apache.log4j.rolling.TimeBasedRollingPolicy">
                 <param name="FileNamePattern"
            value="${home}/logs/cache.%d{yyyy-MM-dd-HH}.gz" />
                 <param name="ActiveFileName" value="${home}/logs/cache.log" />
             </rollingPolicy> 

            <layout class="org.apache.log4j.EnhancedPatternLayout">
            <param name="ConversionPattern"
                value="%-5p %d{MMM-dd-yyyy HH:mm:ss,SSS} %c{1} - %m%n" />
        </layout>
    </appender>

简单类测试

http://www.javaworld.com/article/2075817/core-java/customized-appender-extending-org-apache-log4j-fileappender.html

package com.MyAppender;

import org.apache.log4j.spi.LoggingEvent;

public class MyAppender extends org.apache.log4j.RollingFileAppender {

    private String file;
    private boolean initialized = false;
    private String baseFileName = null;

    // private static final Log log = LogFactory.getLog(MyAppender.class);

    /**
     * 
     * write to ActivityLog
     * 
     * @param event
     *            logging event invoked.
     * 
     */
    @Override
    protected void subAppend(LoggingEvent event) {
        if (!initialized) {
            createNewFile();
        }
        synchronized (this) {
            super.subAppend(event);
        }
    }

    /**
     * 
     * create a new ActivityLog File
     * 
     */
    public void createNewFile() {
        try {
            baseFileName = file;
            super.setFile(baseFileName);
            super.activateOptions();
            initialized = true;
        } catch (Exception e) {
            // log.error("*#*Error in configuration of log4j params,unable to create ActivityLog file");
        }
    }

    /**
     * 
     * invokes File Appender's activateOptions() which controls the creation of
     * log files.
     * 
     */
    @Override
    public void activateOptions() {
        super.setFile(file);
        super.activateOptions();
    }

    /**
     * 
     * Close and rename the current ActivityLog file and reset counter and
     * timestamp.
     * 
     */
    public void rollOver() {
        closeFile();
        initialized = false;
    }

    @Override
    public void setFile(String file) {
        this.file = file;
    }

}

然后我计划在密码输出流中实现代码

答案 1

这个问题的可能解决方法是将日志写入支持加密的嵌入式数据库，例如H2本身支持加密，SQLite具有开源加密扩展 - 这样您就可以使用并让数据库处理加密，而不必担心自定义追加器。JDBCAppender

从这个问题来看，SQLite配置看起来像这样

<appender name="jdbcAppender" class="org.apache.log4j.jdbc.JDBCAppender">
    <param name="URL" value="jdbc:sqlite:D:/download/mapLogic/sf_log.db" />
    <param name="user" value="" />
    <param name="password" value="" />
    <param name="driver" value="org.sqlite.JDBC" />
    <param name="sql"
        value="INSERT INTO Log(Message,Priority,Logger,Date) VALUES ('%m','%p','%c','%d{ABSOLUTE}')" />
</appender>

日志表如下所示的位置

CREATE TABLE Log (
    LogId        INTEGER PRIMARY KEY,
    Date         DATETIME NOT NULL,
    Level        VARCHAR(50) NOT NULL,
    Logger       VARCHAR(255) NOT NULL,
    Message      TEXT DEFAULT NULL
);

有关的文档可以在这里找到JDBCAppender

SQLite有一个官方加密扩展，以及至少一个第三方开源扩展;我从来没有加密过SQLite，但如果我必须这样做，那么我会使用官方扩展，除非我遇到问题。

如果您在客户端上运行此功能，那么理想情况下，您将能够在启动时将程序呼叫总部以获取数据库加密密钥，以便密钥永远不会存在于客户端的磁盘驱动器上（忽略它进入交换文件的可能性） - 客户端仍然可以使用调试器或其他任何东西来尝试从内存中获取密钥，但据推测，他们对解密日志没有足够的兴趣去解决那么多麻烦。如果您必须将密钥存储在客户端，那么您至少可以通过在使用它之前对其进行多次哈希处理来混淆它，例如，在程序中对base_key进行硬编码，然后在启动时通过SHA512（或其他）多次运行base_key来创建actual_key;客户端仍然可以通过使用调试器弄清楚您正在做什么，但同样希望他们不会想去麻烦。

答案 2

选项 1：使用自定义套接字应用程序

作为Zim-Zam关于使用支持JDBC的附加器的答案的替代方法（顺便说一句，如果您沿着这条路走下去，请记住也要启用安全传输），您还可以考虑使用并推出自己的加密方法。SocketAppender

选项2：使用水槽和水槽应用器

请参阅有关附加器的 log4j 文档，并了解如何使用支持事件加密的：FlumeAppender

配置了主代理和辅助代理的示例 FlumeAppender 配置会压缩正文，使用 RFC5424Layout 格式化正文，并将加密事件保存到磁盘。此示例“压缩正文，使用 RFC5424Layout 格式化正文，并将加密事件保存到磁盘：”

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="warn" name="MyApp" packages="">
  <Appenders>
    <Flume name="eventLogger" compress="true" type="persistent" dataDir="./logData">
      <Agent host="192.168.10.101" port="8800"/>
      <RFC5424Layout enterpriseNumber="18060" includeMDC="true" appName="MyApp"/>
      <Property name="keyProvider">MySecretProvider</Property>
    </Flume>
  </Appenders>
  <Loggers>
    <Root level="error">
      <AppenderRef ref="eventLogger"/>
    </Root>
  </Loggers>
</Configuration>

有趣的阅读

这不会直接回答您的问题，但也相当有趣：创建加密的日志文件