Registrando o tráfego HTTP no Linux

Um pouco de história, meu irmão (em sua adolescência) tem um distúrbio de atenção. Muitas vezes eu o encontro quando ele é suposto estar fazendo seu dever de casa ao invés de navegar na web. Nós gostaríamos de confrontá-lo com evidências de que ele não está realmente trabalhando, de preferência mostrando a história de quais sites ele visitou. Eu não posso usar o Wireshark do meu lado (a rede não está configurada de uma maneira que me permita monitorar sua taxa de transferência).

Minha principal preocupação é o armazenamento em cache. A principal coisa que seria útil para mim seria as solicitações HTTP GET iniciais, que eu posso obter com o Wireshark fazendo (http.request.method == "GET") && (http.request.uri == "/") , no entanto, isso para de funcionar quando o site é armazenado em cache (ele só obtém imagens que são desatualizado, etc, e a alteração de == para contains no segundo parâmetro resulta em muito lixo e ainda não garante que ele não seja armazenado em cache).

Meu roteador é um WRT54GL com Tomato nele (tem dnsmasq etc.). Eu queria saber sobre o log com o dnsmasq, e li um pouco sobre isso, mas eu não sei se vai funcionar do jeito que eu estou querendo (cache DNS local será usado após o pedido inicial, certo?) .

Caso contrário, existe alguma maneira melhor de registrar seu tráfego? Um registrador em seu próprio computador também estaria bem, contanto que seja "invisível" em seu computador (ou possa ser configurado para ser invisível) - ele não é competente o suficiente com o Linux para determinar o que está sendo executado em segundo plano. Eu atualmente tenho ele configurado com o Debian Squeeze.