Logback + SLF4J 是 Java 项目推荐的日志方案,需引入 slf4j-api 和 logback-classic 依赖,并配置 logback.xml 实现控制台与文件输出;配合 Micrometer + Prometheus 可实现 JVM 监控;MDC 支持请求上下文透传;Logback 比 Log4j2 更安全、轻量、易迁移。
用 Logback + SLF4J 配置基础日志输出
Java 项目默认不带日志实现,直接调用 org.slf4j.Logger 会报 NoClassDefFoundError: org/slf4j/LoggerFactory。必须引入桥接和实现两部分依赖:
-
slf4j-api(接口定义,所有日志调用都基于它) -
logback-classic(SLF4J 的原生实现,含自动配置能力)
Maven 依赖示例:
org.slf4j slf4j-api2.0.12 ch.qos.logback logback-classic1.4.14
Logback 默认加载 src/main/resources/logback.xml。一个最小可用配置如下(控制台输出 + ERROR 级别文件归档):
%d{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n
logs/app.log logs/app.%d{yyyy-MM-dd}.%i.log 10MB 7 100MB %d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n
注意:RollingFileAppender 在首次写入前不
logs/ 目录,需确保应用有写权限,或提前手动创建。
接入 Micrometer + Prometheus 实现 JVM 监控
SLF4J 只管日志,监控要另起一套。Micrometer 是 Spring Boot 2.0+ 默认的指标门面,Prometheus 是拉取式时序数据库,二者搭配最轻量且无侵入。
关键依赖(非 Spring Boot 项目需额外加 micrometer-registry-prometheus):
io.micrometer:micrometer-coreio.micrometer:micrometer-registry-prometheus- (可选)
io.prometheus:simpleclient_httpserver提供 HTTP 暴露端点
手动初始化示例(Spring Boot 用户跳过此步,直接配 management.endpoints.web.exposure.include=metrics,prometheus):
import io.micrometer.core.instrument.MeterRegistry; import io.micrometer.core.instrument.binder.jvm.JvmMemoryMetrics; import io.micrometer.core.instrument.binder.jvm.JvmThreadMetrics; import io.micrometer.core.instrument.binder.system.ProcessorMetrics; import io.micrometer.prometheus.PrometheusConfig; import io.micrometer.prometheus.PrometheusMeterRegistry; import io.prometheus.client.exporter.HTTPServer;// 创建注册表 MeterRegistry registry = new PrometheusMeterRegistry(PrometheusConfig.DEFAULT);
// 绑定 JVM 基础指标 new JvmMemoryMetrics().bindTo(registry); new JvmThreadMetrics().bindTo(registry); new ProcessorMetrics().bindTo(registry);
// 启动 HTTP 暴露端点(默认 /metrics) try { new HTTPServer(8080, registry); } catch (Exception e) { throw new RuntimeException(e); }
访问 http://localhost:8080/metrics 即可看到 jvm_memory_used_bytes、process_cpu_usage 等原始指标。Prometheus server 抓取该地址即可入库。
常见坑:HTTPServer 不支持路径前缀(如 /actuator/metrics),若需集成到现有 Web 容器,请用 PrometheusScrapeEndpoint 或自定义 Servlet。
日志与监控联动:用 MDC 传递请求上下文
单纯打日志或上报指标,很难关联一次请求的完整链路。SLF4J 的 MDC(Mapped Diagnostic Context)可在线程局部变量中存键值对,并自动注入日志 pattern。
例如,在 Web 入口处注入 trace ID:
// 拦截器或 Filter 中
String traceId = UUID.randomUUID().toString();
MDC.put("traceId", traceId);
// 后续所有 log.info() 都会带上 traceId
logger.info("request received"); // 输出:... [traceId=abc123] request received对应 logback.xml 中 pattern 要加 %X{traceId:-}:
%d{HH:mm:ss.SSS} [%thread] %X{traceId:-} %-5level %logger{36} - %msg%n
注意:MDC 是线程绑定的,异步线程(如 CompletableFuture、线程池任务)不会自动继承。必须显式拷贝:
- 用
MDC.getCopyOfContextMap()获取当前上下文 - 在新线程开始前调用
MDC.setContextMap(...) - 任务结束前调用
MDC.clear()防止内存泄漏
Spring Boot 用户可用 @Async 配合 ThreadPoolTaskExecutor 的 setThreadFactory 自动透传,但纯 Java 项目得自己封装工具类。
为什么不用 Log4j2?兼容性和漏洞风险是硬伤
Log4j2 曾因 JNDI lookup 导致 CVE-2025-44228 全网级漏洞,虽已修复,但后续又曝出 CVE-2025-45046、CVE-2025-45105 等绕过变种。企业级项目上线前必须做全量依赖扫描,而 Logback 没有类似历史问题。
性能上,Logback 的异步日志(AsyncAppender)比 Log4j2 的 AsyncLogger 更可控——后者依赖 LMAX Disruptor,引入额外 jar 且配置复杂;前者只需包装已有 Appender,零学习成本。
如果你的项目已用 Log4j2,迁移成本其实不高:
- 替换 Maven 依赖(删
log4j-api/log4j-core,加logback-classic) - 把
log4j2.xml改写为logback.xml(结构相似,滚动策略命名略有差异) - 确认没用
org.apache.logging.log4j包下的 API(SLF4J 接口层完全一致)
真正难的是那些硬编码了 Logger.getLogger("xxx") 并强转为 org.apache.logging.log4j.core.Logger 的遗留代码——这种得逐个改,没法靠桥接包兜底。
