A negociação SSL acontece antes de qualquer cabeçalho HTTP ser processado, para que você não veja isso nos logs do IIS. Você examinou seus registros de eventos para ver se há algo lá?
EDITAR:
Você também pode acessar o SSL Diagnostics da Microsoft, especificamente SSLMon. Parece que pode ter algo que será benéfico para você, apesar de eu não ter jogado com ele ainda.