Apache-Jakartaプロジェクトのログ出力ツール。コード内にログステートメントを記述する必要は無く、Javaバイナリーの挙動を確認できる。
JDK1.4でロギングAPIが実装されたが、機能面ではlog4jの方がまだ優れている。
現在、創始者であるCeki Gülcüは、後継ソフトである、Logbackに注力している。
LogbackとLog4j2 考慮点 Logbackの実装例 Log4j2の実装例 LogbackとLog4j2のどちらを選ぶべき? Logbackを選ぶべき場合: Log4j2を選ぶべき場合: LogbackとLog4j2 LogbackとLog4j2は、Javaで使用される一般的なロギングフレームワークですが、それぞれ異なる特徴と利点があります。以下に、主な違いを示します。1. パフォーマンス - Logbackは、非常に高速に動作します。特に初期化時の速度に優れており、少ないメモリで動作します。また、スレッド間のコンテキストスイッチを最小限に抑え、効率的なマルチスレッド処理をサポートして…
【要点】 ◎ 脆弱性: CVE-2021-44228を狙う攻撃 ◎ 攻撃活動が活発化傾向 ◎ マルウェア(ランサムウェア, コインマイナー, Bot等)のダウンロード活動が活発化 ■関連情報(まとめサイト) - 脆弱性関連 - ◆Log4Shell [脆弱性] (まとめ) [TT 脆弱性 Blog] ⇒ 脆弱性関係の情報はこちら https://vul.hatenadiary.com/entry/Log4Shell vul.hatenadiary.com ■警察庁の攻撃数観測データ 出典: https://www.npa.go.jp/cyberpolice/important/2021/202…
2021年も師走に差し掛かったある日、「Log4j 脆弱性」というキーワードが世界中のセキュリティ界隈に激震を走らせました。 12月10日15時頃から、ITエンジニアを中心にネット上で火が付いたLog4jの脆弱性騒動はその後、米マイクロソフト社が提供する大人気ゲーム「Minecraft」やApple社の「iCloud」など、一般に身近なサービスへの影響も確認されたため、さらなる話題を呼びました。 Log4jの脆弱性については、NHK、WBS、日経新聞などの大手メディアでも取り上げられましたが、非エンジニアからすれば「なぜここまで話題となるのか?」が疑問なところです。 そこで本記事では、Log4…
【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ 対策は、脆弱性パッチの適用(2.17.0 以降) ◎ 当初の緩和策の効果は否定された ■関連情報(まとめサイト) - サイバー攻撃関係 - ◆Log4Shell [サイバー攻撃] (まとめ) https://malware-log.hatenablog.com/…
本記事は下記URLに移動しました。5秒後に自動的に移動します。 https://www.naitwo.me/Log4j Javaのログ出力ライブラリ「Apache Log4j」の脆弱性問題(CVE-2021-44228)が話題になっています。 業務で対応をされている方もいらっしゃるのではないでしょうか。(お疲れ様です・・) アプリケーション観点での対策については各所で情報があがってきているので、今回はネットワークインフラ観点でできる対策について書いていこうと思います。 *動作検証は厳密に行っていなので参考程度に見ていただければと思います*設定イメージ解説にパロアルトネットワークス社の次世代ファ…
某セキュリティキャンプのリレーブログです。前回の僕の記事はZennでかきましたが、今回ははてなブログを使ってみようと思います。前回の方のブログはこちら。 今回のテーマは Log4jの脆弱性(CVE-2021-44228) Twitterでかなり騒がれていましたが、実際にどのようなものなのでしょうか? (Javaをほとんど触ったことがない人がまとめます。) Log4gって何? そもそも今回脆弱性が見つかったLog4jとは何者なのか。簡単に。 Log4jは、オープンソースで提供されている Javaプログラム用のロギングライブラリ。Apache Software Foundationが提供していて、…
log4j がめちゃくちゃ話題になってますね。 自分がいる会社でも、製品に使われていないかなどの対応に追われているところもあり、なかなか安心できない状況となります。 毎年クリスマス前は、ハッキングとかセキュリティの話題が出ているような。 インフラチームはクリスマス嫌っている人多そう。 警察庁がlo4jの攻撃情報を公開 悪用されるとどうなるか どうなったらかかるのか windows もすぐに対処 自分のpcにもlog4jが linux はすぐに対処を androidはあまり気にしなくて良い うちで使っている製品もやばいの? docker desktopの場合 microsoft の場合 被害にあ…
はじめに 今のプロジェクトではJavaでSpringbootのアプリケーションを利用している。 当然Log4jの脆弱性は問題ないのか調査することになった。 結論 変なことをしていなければ、今回の脆弱性は影響なし。 調査内容 前提 今回の脆弱性は、log4j-coreの2.15.0以下を利用している場合にlookup機能が悪用されて任意コードが実行される。 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 Springboot公式の見解 Springbootのデフォルトのロギングシステムをlog4j2にスイッチしていない限り問題ないとのこと。 そ…
今、最もサロンで人気なのがこちら ふわふわニット 女の子ウケも抜群^^ カラバリ豊富 そして鬼安w (ワンサイズ大きいのを推奨) a.r10.to その他の人気オススメ商品はこちら♪ note.com rakuten_design="slide";rakuten_affiliateId="12534b64.cf5c2745.12534b65.2e7493a3";rakuten_items="ctsmatch";rakuten_genreId="0";rakuten_size="468x160";rakuten_target="_blank";rakuten_theme="gray";rakut…
クリスマス前に大騒ぎですが,Japan VMUG もアクティブメンバーのみなさんが昼夜を問わずに情報整理・提供してくれていて,本当に頭が下がります.VMware 製品群に関しては,VMSA-2021-0028 が公開された直後は Workaround は vROPs くらいしか情報なかったのですが,やっと vCenter の Workaround も KB87081 として公開されたので,早速 7.0.3 の vCSA に適用してみました.すぐに日本語化されるとは思いますが,困っている初心者の方もいらっしゃるかと思いますので,一通り手順を書いておきたいと思います. 0. vCenter へ s…
はじめに ついにLoggol(ロゴル)の正式版をリリースすることが出来ました。それに合わせてLoggolブログも開始です。まず最初の記事として、そもそも何故このサービスを作ったのかについて書いてみようと思います。理由は複数あり、それらが複合的に混ざることで実際のサービス化を決心しました。 1. WAFの技術を活かせる 私はLoggolの開発以前より、継続して2つのクラウド型のセキュリティサービスの開発・運用に携わってきました。1つはWAFであるScutum、もう1つは脆弱性検査ツールであるVAddyです。どちらもおかげさまで順調にユーザを獲得でき、軌道に乗っています。 前者はWAFなので、受け…
業務こなしての気づき jsファイルのインデント jsファイルを修正していたのだが、全角スペースでインデント揃えようとしていた。。。 最初見たとき、発狂しそうになった。 半角スペースで埋まっているのが大半なのに、なぜ部分的に全角なんだ!って怒りに震えた。 log4j1→log4j2への移行 マイグレーション方法が乗っているが、CLASSPATHに設定するとあり、windowsだとPATHに設定すればいいと読み替えたが、CLASSPATHという変数にパスを設定しなければイケなかったらしい。。。 最初、PATHに設定してあるよな~って何回も確認したけど、俺が読み間違えてるって発想に至るまで、かなり迷…
【要点】 ◎北朝鮮のサイバー攻撃組織 incidents.hatenablog.com 【目次】 概要 【別名】 【関連組織】 【辞書】 【概要】 【最新情報】 記事 【まとめ】 【ニュース】 【ブログ】 【公開情報】 【資料】 【IoC情報】 【図表】 関連情報 【関連まとめ記事】 概要 【ATT&CK ID】 ID(ATT&CK) 備考 G0032 Lazarus Group 【別名】 名称 命名組織 Appleworm Black Artemis Bureau 121 Covellite Dark Seoul Group 77 Guardians of Peace Hastati (Gr…
WAFが必要になってきた 近年サイバー攻撃が増加しているというニュースをよく耳にします。ホワイトプラスが運営するサービスのLenetも例外ではなく、日々多数の攻撃を受けています。攻撃は防ぎ切れていますが対応に時間を取られているのが現状です。Lenetは少数のエンジニアで運用しているため、もっと手軽に効率よく対応できないかということでWAFの導入が検討されました。 Lenetのアーキテクチャ紹介 まずは導入対象となるLenetのインフラ構成を簡単に紹介したいと思います。 LenetはGCPをメインに使用していて、アプリケーションはGKEで稼働しています。GKEで使用しているIngressのコント…
以前Confluenceのプラグインを作ってたのはもう13年も前だったのか…ということで、やり直し。 Atlassianのドキュメント Atlassianのドキュメントは相変わらずあっちゃこっちゃ飛んでいてなかなかにまとまりが無い。とりあえずこのあたりを参考にした。 - Confluence plugin guide - Getting started 環境 Windows11のWSL2のDebian12で構築。 # cat /etc/debian_version 12.6 # arch x86_64 Javaの環境設定 JDKのインストール OracleJDK8かr AdoptOpenJDK…
SpringBootでのサーバーアプリケーションはもうコンテナ運用も当たり前で、コンテナ運用が当たり前ってことはログも生ログファイルを見るんじゃなくどこかに集められたものを見るのが当たり前で、複数のサーバーで運用されるログを集約してみる場合は何かしら横断的にログを検索する項目があるのも当たり前で、集約システムとか挟むんだからログもパースできるのが当たり前で。 いろんな事情に後押しされて、現代のサーバーアプリケーションは構造化ログを出すのが当たり前です。 SpringBootで構造化ログを出力する場合、現段階ではECS LoggingやLogstash Logback Encoderなどを使用す…
SpringBatchでログ出力 1. Spring Batchとログ出力の関係 2. ロギングフレームワークの設定 application.ymlの設定例 application.propertiesの設定例 3. Spring Batchのジョブおよびステップのログ出力 JobExecutionListenerの設定例 StepExecutionListenerの設定例 4. まとめ SpringBatchでログ出力 Spring Batchでログ出力を行う方法について解説します。 Spring Batchは、バッチ処理のフレームワークで、データのバッチ処理に関する機能を提供します。 ログ…
クラウド全盛の昨今、ひときわ異彩を放つのが Cloudflare だ。元々が CDN 事業者であることもあり、各クラウド事業者と競合するのではなく、各クラウド事業者の苦手とするところを補完する存在であったが、今ではむしろ機能的に他社を侵食している状況にある。 Cloudflare の提供する機能は大きく2つに分けられる。ひとつは公開されたWebシステムの効率化と前さばき、もうひとつはイントラ/バックオフィス向けのプライベートアクセスである。Cloudflare はWebシステム機能自体はメインターゲットとせず、(基本的には)外界との繋ぎこみに特化した機能群を提供している。昨今では、Worker…
MyBatisで発行したSQLを確認する方法 MyBatisで発行したSQLを確認 1. ログ出力を利用する方法 2. MyBatis拡張機能を使用する方法 3. MyBatisのデバッグモードを利用する方法 まとめ MyBatisで発行したSQLを確認する方法 MyBatisで発行したSQLを確認 MyBatisで発行されるSQLを確認するためには、いくつかの方法があります。 以下に代表的な方法をいくつか紹介します。 1. ログ出力を利用する方法 MyBatisでは、設定ファイルにログ設定を追加することで、SQLのログを出力することができます。 具体的には、log4jやslf4jなどのロギン…
MyBatisで生成されたSQLを確認する方法 MyBatisで生成されたSQLを確認する方法 1. MyBatisのログ設定を利用する 2. SqlSessionのgetConfiguration().getMappedStatement()を使用する 3. Interceptorを使用する まとめ MyBatisで生成されたSQLを確認する方法 MyBatisで生成されたSQLを確認する方法 MyBatisで実行されるSQLを確認するには、いくつかの方法があります。 以下では、具体例を示します。 1. MyBatisのログ設定を利用する MyBatisでは、ログフレームワーク(Log4j、…
Mybatisで実行SQLを取得する方法 MyBatisで実行SQLをログに出力する方法 SQLを取得する方法 まとめ Mybatisで実行SQLを取得する方法 MyBatisで実行SQLを取得する方法について説明します。 MyBatisで実行SQLをログに出力する方法 MyBatisでは、ConfigurationクラスのlogImplプロパティを使用して、実行SQLをログに出力できます。 以下は、testMyBatisConfigという設定クラスでログを出力する設定例です。 package com.example.config; import org.apache.ibatis.sessi…
Mybatisでログ出力をする設定 ログ出力の設定方法 1. ログフレームワークの選定 2. MyBatis設定ファイルの変更 3. ログ出力のカスタマイズ 4. SQLログの確認 まとめ Mybatisでログ出力をする設定 MyBatisでログ出力を設定する方法について、以下に説明します。 ログ出力の設定方法 1. ログフレームワークの選定 MyBatisでは、ログ出力のために複数のログフレームワークをサポートしています。 一般的にはSLF4JとLog4jやLogbackが利用されます。 これらのログフレームワークをプロジェクトに追加する必要があります。 例えば、Logbackを使用する場合…
Mybatisで発行されたクエリのログを記録 MyBatisで発行されたクエリのログを記録する方法 1. MyBatisのログ出力設定 2. MyBatisの設定ファイルでのログ設定 3. SQLログの確認 Mybatisで発行されたクエリのログを記録 MyBatisで発行されたクエリのログを記録する方法 MyBatisで発行されたクエリのログを記録することは、SQLのデバッグやパフォーマンスの分析に役立ちます。 以下に、MyBatisでクエリのログを記録する方法について説明します。 1. MyBatisのログ出力設定 MyBatisのSQLログを記録するためには、MyBatisの設定ファイル…
Mybatisでエラーが発生した場合の処理を実装 1. エラー処理の基本方針 2. エラーハンドリングの戦略 2.1 例外処理 2.2 ログ出力 3. エラー処理のためのMyBatis設定 3.1 エラーハンドリングのカスタマイズ 4. データベースのエラーメッセージをユーザーに表示 5. エラー処理のベストプラクティス Mybatisでエラーが発生した場合の処理を実装 MyBatisにおけるエラー処理は、アプリケーションの安定性と信頼性を確保するために重要です。 MyBatisは、SQLマッパーとしてSQLの実行とデータベースとのやり取りを簡素化しますが、実行時には様々なエラーが発生する可能…
はじめに Logbertの導入 Logbertとは Logbertのインストール アセットの導入 GMLogger Log Exporterのインストール GMS2にインポート ※注意 コードの修正 使い方 Logbertのセットアップ ログの送信 ログレベル使い分け 1. ALL 2. TRACE 3. DEBUG 4. INFO 5. WARN 6. ERROR 7. FATAL 8. NONE ログの削除 フィルタ機能 リリース時の注意点 まとめ はじめに ゲーム開発中、デバッグ作業を効率的に行うためにはログの管理は結構重要ですよね。 GameMaker Studio 2(以下GMS2)…