Ведение журнала SSL ciphersuite используется в Windows Server 2008 R2

Журналы IIS вам здесь не помогут, так как соединение SSL согласовывается до того, как начинает передаваться трафик любого уровня HTTP/ прикладного уровня.

Но то, что вы можете сделать, это:

C:\Windows\system32>netsh trace start capture=yes

Trace configuration:
-------------------------------------------------------------------
Status:             Running
Trace File:         C:\Users\Ryan\AppData\Local\Temp\NetTraces\NetTrace.etl
Append:             Off
Circular:           On
Max Size:           250 MB
Report:             Off


C:\Windows\system32>netsh trace stop
Correlating traces ... done
Generating data collection ... done
The trace file and additional troubleshooting information have been compiled as "C:\Users\Ryan\AppData\Local\Temp\NetTraces\NetTrace.cab".
File location = C:\Users\Ryan\AppData\Local\Temp\NetTraces\NetTrace.etl
Tracing session was successfully stopped.

Этот файл ETL можно открыть с помощью анализатора производительности Windows, а также с помощью NetMon. (Последнее, вероятно, будет более полезным для вас.)

http://blogs.technet.com/b/mrsnrub/archive/2009/09/10/capturing-network-traffic-in-windows-7-server-2008-r2.aspx

Вот скриншот того файла трассировки, который я только что сгенерировал:

(Открыть в новой вкладке, чтобы увидеть в полном размере)

Изменить: Чтобы найти точный режим шифрования, найдите пакеты "HandShake: Server Hello":

Вот статья службы поддержки Microsoft, в которой рассказывается, как интерпретировать байты пакета вручную, но Netmon сделает это за вас.

Вы можете придумать фильтр трассировки пакетов, который содержит только пакеты такого типа. Если есть лучший способ получить эти данные, я бы хотел узнать об этом.