Во-первых, вполне вероятно, что ваши клиенты отправляют запросы с действительно большими http-заголовками или URL-адресами. Возможно, старая версия вашего приложения установила некоторые (возможно, большие) файлы cookie, которые сейчас не используются, и некоторые клиенты все еще пытаются отправить их обратно.
Я бы установил действительно большие значения для буферов заголовков и на стороне приложения регистрировал бы размер заголовков / запросов и полный запрос, если они больше, чем обычно. Или полностью выньте nginx из цепочки и запишите заголовок / запрос с теми же условиями. Если вы можете, используйте nginx только для тех IP-адресов / подсетей, из которых произошли 400 ошибок. Я полагаю, что nginx может зарегистрировать IP-адрес источника для этих 400 ошибок.