我正在用Python编写一个日志收集/分析应用程序，我需要编写一个“规则引擎”来匹配和处理日志消息。

它需要具备：

• 与消息本身匹配的正则表达式
• 消息严重性/优先级的算术比较
• 布尔运算符

我设想一个示例规则可能是这样的：

(message ~ "program\\[\d+\\]: message" and severity >= high) or (severity >= critical)

我正在考虑使用PyParsing或类似方法来实际解析规则并构造解析树。

当前（尚未实现）的设计是为每个规则类型都有类，并根据解析树将它们构造和链接在一起。然后，每个规则都有一个“matches”方法，该方法可以接受一个消息对象返回，不管它是否与规则匹配。

很快，比如：

class RegexRule(Rule):
    def __init__(self, regex):
         self.regex = regex

    def match(self, message):
         return self.regex.match(message.contents)

class SeverityRule(Rule):
    def __init__(self, operator, severity):
         self.operator = operator

    def match(self, message):
         if operator == ">=":
             return message.severity >= severity
         # more conditions here...

class BooleanAndRule(Rule):
    def __init__(self, rule1, rule2):
         self.rule1 = rule1
         self.rule2 = rule2

    def match(self, message):
          return self.rule1.match(message) and self.rule2.match(message)

然后，这些规则类将根据消息的解析树和对顶部规则调用的match（）方法链接在一起，该方法将向下级联，直到对所有规则求值。

我只是想知道这是一个合理的方法，还是我的设计和想法完全不正常？不幸的是，我从来没有机会参加编译器设计课程或类似的东西在大学，所以我几乎提出了我自己的东西。

有这方面的经验的人可以插嘴评价一下这个想法吗？

编辑： 到目前为止有一些好的答案，这里有一些澄清。

该程序的目的是从网络上的服务器收集日志消息并将它们存储在数据库中。除了日志消息的集合之外，收集器还将定义一组规则，这些规则将根据条件匹配或忽略消息，并在必要时标记警报。

我看不出规则的复杂度超过中等，它们将应用于链（列表），直到匹配的警报或忽略规则被命中。然而，这一部分与这个问题并不十分相关。

至于语法接近Python语法，是的，这是真的，但是我认为很难将Python过滤到这样的程度：用户不能不经意地使用一些不想使用的规则做一些疯狂的事情。