У меня есть журналы splunk, которые будут давать ExpiryDate в результатах поиска на основе значения результата, необходимо настроить предупреждение до 10 дней истечения срока действия.
Результат Splunk будет
Expiry Date: 12-28-2019
Заранее спасибо
Предполагая, что ExpiryDate находится в текстовом формате, который вы показываете, это должно сработать. Если он в форме эпохи, вы можете опустить команду strptime.
<your current search> | eval eExpiryDate=strptime(ExpiryDate, "%m-%d-%Y")
| eval sevenDaysHence=relative_time(now(), "+7d")
| where eExpiryDate < sevenDaysHence
