para eso están los filtros. Filtra por protocolo o protocolo/puerto. De cualquier forma Etheral usa la misma libreria que TCPDump... y tienes un manual de TCPDUMP aquie en este mismo foro.
Si tus usuarios navegan a través del proxy, el mismo proxy genera unos logs. si quieres filtrar mediante Ethereal haclo a través del puerto del proxy usado para http.
Ethereal genera gran cantidad de información, así que mejor filtra antes.
Además de los filtro que te comentos, para averiguar que página visitan tendrás que usar la opción -X para ver los datos y un snaplen de longitud adecuada, prueba con -s 1025 y podrás hasta tener una copia de la página entera.
Un ejemplo.
Código:
C:\scan>windump -qnt -X -s 1025 host 192.168.4.15 and port 8080
windump: listening on \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
IP 192.168.4.3.6279 > 192.168.4.15.8080: tcp 0 (DF)
0x0000 4500 0028 d746 4000 8006 0000 c0a8 0403 E..(.F@.........
0x0010 c0a8 040f 1887 1f90 a994 7a99 e6ae f79d ..........z.....
0x0020 5011 fa4b 897d 0000 P..K.}..
IP 192.168.4.15.8080 > 192.168.4.3.6279: tcp 0
0x0000 4500 0028 524b 0000 8006 5f22 c0a8 040f E..(RK...._"....
0x0010 c0a8 0403 1f90 1887 e6ae f79d a994 7a9a ..............z.
0x0020 5010 4223 a9bb 0000 0000 0000 0000 P.B#..........
IP 192.168.4.3.6280 > 192.168.4.15.8080: tcp 0 (DF)
0x0000 4500 0030 d749 4000 8006 0000 c0a8 0403 E..0.I@.........
0x0010 c0a8 040f 1888 1f90 a9d8 e29a 0000 0000 ................
0x0020 7002 faf0 3a40 0000 0204 05b4 0101 0402 p...:@..........
IP 192.168.4.15.8080 > 192.168.4.3.6280: tcp 0
0x0000 4500 0030 524c 0000 8006 5f19 c0a8 040f E..0RL...._.....
0x0010 c0a8 0403 1f90 1888 e6fb 6932 a9d8 e29b ..........i2....
0x0020 7012 4470 a081 0000 0204 05b4 0101 0402 p.Dp............
IP 192.168.4.3.6280 > 192.168.4.15.8080: tcp 0 (DF)
0x0000 4500 0028 d74a 4000 8006 0000 c0a8 0403 E..(.J@.........
0x0010 c0a8 040f 1888 1f90 a9d8 e29b e6fb 6933 ..............i3
0x0020 5010 faf0 897d 0000 P....}..
IP 192.168.4.3.6280 > 192.168.4.15.8080: tcp 816 (DF)
0x0000 4500 0358 d74b 4000 8006 0000 c0a8 0403 E..X.K@.........
0x0010 c0a8 040f 1888 1f90 a9d8 e29b e6fb 6933 ..............i3
0x0020 5018 faf0 8cad 0000 4745 5420 6874 7470 P.......GET.http
0x0030 3a2f 2f77 7777 2e73 6f66 746f 6e69 632e ://www.softonic.
0x0040 636f 6d2f 666f 7275 6d73 2f6c 6973 742e com/forums/list.
0x0050 7068 703f 663d 3520 4854 5450 2f31 2e31 php?f=5.HTTP/1.1
0x0060 0d0a 486f 7374 3a20 7777 772e 736f 6674 ..Host:.www.soft
0x0070 6f6e 6963 2e63 6f6d 0d0a 5573 6572 2d41 onic.com..User-A
0x0080 6765 6e74 3a20 4d6f 7a69 6c6c 612f 352e gent:.Mozilla/5.
0x0090 3020 2857 696e 646f 7773 3b20 553b 2057 0.(Windows;.U;.W
0x00a0 696e 646f 7773 204e 5420 352e 303b 2065 indows.NT.5.0;.e
0x00b0 6e2d 5553 3b20 7276 3a31 2e34 6129 2047 n-US;.rv:1.4a).G
El filtro es igual para ethereal. porsu puesto vuelca la inforamción en un archivo.