不審な通信を早く見つけるにはどうしたらいいでしょうか？

①　疑いのある特定の端末のみに絞り込み
②　CONNECTでgrep
③　ユーザが使用しているブラウザのユーザエージェントでgrep -v

〜ユーザオペレーション以外のSSL Connectionが表示される...
って感じはどうでしょう？
みんなどうやっているのだろう。