上で「いかがでしょうか？」と書いておきながら、その方法はダメだったことを確認orz
Windows Server 2003 SP1 の状態で確認してみましたが、monyolog がパケットを取得するのは、IPsec → ICF → monyolog という順番になるようですね。
IPsec で拒否（ブロック）を定義した場合、ブロックされたパケットを monyolog では確認できませんでした（ひょっとして当然？）。
さて、IPsec のフィルタで落としたパケットはどうやって確認すればよいか・・・