Para monitoramento adhoc, eu recomendaria iptraf. Ele mostra todas as conexões atualmente abertas com endereços IP e o número de pacotes e bytes em ambas as direções. No entanto, não suporta dados históricos (pelo que sei, mas talvez outra pessoa saiba mais sobre isso).
Você pode tentar apenas capturar tráfego usando o tcpdump. Você provavelmente terá que limitar o tamanho da captura ao mínimo e, em seguida, tentar analisar esses dados mais tarde com o wireshark ou outras ferramentas que possam analisar arquivos pcap.