Ja mam takie logowanie zrobione, ale tylko na tcp:

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK SYN,ACK -j LOG --log-prefix 'NEW CONN: '

loguje do sysloga pakiety SYN i ACK czyli udane nawiązane połączenia, następnie za pomocą syslog-ng odpowiednio wrzucam to do osobnego pliku:
destination df ...

Zobacz do czego dokładnie windows się dobija - zapuść tcpdumpa na interfejsie ppp. Wymaga to trochę refleksu, bo interfejs musi być podniesiony, żeby tcpdumpować, ale chyba sobie poradzisz ;-)
można użyć coś w stylu:
for i in `seq 1 120`; do
tcpdump -s 0 -w ppp-diag$i.dump -ni ppp0;
sleep 1;
done ...