Предполагая, что ExpiryDate находится в текстовом формате, который вы показываете, это должно сделать это.Если он в форме эпохи, вы можете опустить команду strptime.
<your current search> | eval eExpiryDate=strptime(ExpiryDate, "%m-%d-%Y")
| eval sevenDaysHence=relative_time(now(), "+7d")
| where eExpiryDate < sevenDaysHence