Никакие предложения, но Ваша логика является звуковым: В динамических средах как та Вы описываете, когда хост подходит, он должен зарегистрироваться в чем-либо, что должно знать о его существовании (например, система контроля), и когда он закрывается, он должен не зарегистрироваться в вещах, которые должны знать, что он уходит.
Вопрос, который я задал бы, является Вами, должны контролировать Ваши серверы "рабочей лошади"? Если они, вычисляют узлы или подобный, и Вы знаете, что их конфигурация стабильна и будет "просто работать", когда их вращают, контролируя само облако (сколько экземпляров работает), может быть столь же хорошим как отслеживание отдельных машин, предположив, что Ваш облачный поставщик позволяет Вам получить доступ к такой статистике легко.
Определите другое failregex
(?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(:.*)$
Я тестировал это регулярное выражение с помощью fail2ban-regex и работает.