Bem, achei duas ferrametas bem interessantes no packages do OpenBSD: pflogx e Driftnet.

O primeiro, escreve em um xml todo o log do pf (muito parecido com o pfw), deixando bem transparente o trafego e pode ser encontrado aqui

A driftnet, citando diretamente a descricao do(s) desenvolvedor(es): Driftnet is a program which listens to network traffic and picks out images from TCP streams it observes. Totalmente do psychobilly, AZOLIVRE. E pode ser encontrada aqui

ps: eu alterei o pflogx p/ jogar “diretamente” no postgres (nao tao diretamente assim) e pretendo brincar logo com a driftnet :)