1) Возможно у вас ведутся логи iptables или pf или cisco .... другого шлюза и вы можете попытаться их распарсить
2) А лучше и вправду месяц ничего не блокировать, а потом включить блокировку и посмотреть разницу
3) Возможно у вас используется Endpoint антивирус, который собирает статистику
