Első gondolat ami eszembe jutott (nem teszteltem): Sidecar containert definiálsz a POD-ban, amibe belerakod az rsyslogot meg a fail2ban-t. Az nginx-es logokat a "távoli" rsyslog-ba küldöd be (azonos network namespace alatt vannak, nem kell semmit expose-olni), majd itt feldolgozod fail2ban-al.
Ez egyetlen trükk, hogy a sidecar containernek a securityContext-jébe definiálni kell a NET_ADMIN és a NET_RAW capabilities-t, hogy a ban host szinten legyen érvényes (container szinten semmi értelme).
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..