имеем поле created в epoch формате + 3 лишних знака, которые сначала надо отсечь, а потом преобразовать epoch в читабельный вид.
rule "unix-epoch to readable"
when
true
then
let new_time = to_long($message.created);
set_field("new_time1", new_time / 1000);
let epoch = parse_date("1970-01-01T00:00:00", "yyyy-MM-dd'T'HH:mm:ss");
let ts_seconds = seconds(to_long($message.new_time1));
set_field("created_readable", epoch + ts_seconds);
end