O Wireshark (e o conjunto de ferramentas) é seu amigo.
executado em uma linha de comando:
$ tshark -n -f 'port 2049' -q -Y rpc.replystat -Tfields -E header=y -e frame.time -e frame.number -e ip.src -e ip.dst -e nfs.main_opcode -e rpc.time
isso lhe dará pacotes nfs. Capture por algum tempo e redirecione a saída para um arquivo:
'' ' $ tshark .... > despejar ^ C
$ awk '{print $ 8}' despejo | classificar | uniq -c | ordene -n -k 1 -r '' '
Isso lhe dará os principais clientes.