Eu estou supondo aqui um pouco porque não tenho informações suficientes para saber o que está acontecendo. Mas eu tentaria algo assim:
fail2ban-regex --print-all-missed /var/log/secure /etc/fail2ban/filter.d/sshd.conf
para ver se ele encontra algo ou quais linhas ele pode estar faltando. Estou assumindo que / var / log / secure é onde o sshd está imprimindo suas falhas de login. É /var/log/auth.log no meu sistema baseado no debian.
Também tenho um bantime e findtime na minha cadeia.local
bantime = 86400
findtime = 86400
Talvez você não esteja conseguindo nada porque não contou a janela de tempo para procurar?