Hallo,
ich habe es jetzt in einer Schleife gelöst, unter Mithilfe einer kleinen MySQL-Tabelle. Das Logfile enthält durchschnittlich ca. 1.000.000 Einträge, die Abfrage zur Ermittlung aller aktuellen Einträge (immer letzte 5 Minuten) mit dem gewünschten Suchbegriff (authentication failure), das Speichern in der Tabelle und Auswerten der Ergebnisse dauert weniger als 1 Sekunde. Da fail2ban nur die Firewall des betroffenen Servers selber pflegt, ich aber die IPs schon auf der ersten Firewall sperren möchte, musste ich mir selber etwas bauen.
Vielen Dank für Eure Unterstützung und Anregungen, die mir weitergeholfen haben.
LG Marvin