Полной автоматизации не получишь, т.к. хотелок много, а на каждой винде свои пути и нычки, так что только в ручную.

Вот годная статья, на основе которой уже можно понять - куда и как копать

https://habr.com/ru/company/group-ib/blog/449100/

Last Activity view:

небольшая бесплатная утилита, которая предназначена для сбора информации об активности пользователя ПК и отображения журнала событий. Программа позволяет узнать какие исполнительные файлы запускались, время данного события, сведения о времени включения и выключения компьютера, используемые сетевые подключения и устанавливаемые приложения, открываемые папки и файлы в Проводнике и многое другое. Полученную информацию можно легко экспортировать в CSV/XML/HTML файл или скопировать ее в буфер обмена. Программа не требует инсталляции.

____

https://www.nirsoft.net/utils/comput...vity_view.html

Круто, почти то что надо. Спасибо.

Спасибо.

Затестировал программу

https://www.nirsoft.net/utils/comput...vity_view.html

Очень не информативная, нету кто открывал. А это почти одно из главных. нету изминений,что изменили,что на что, итд.

Это ж Венда

Я вообще таких нормальных не видел.

Можно вручную разве что сделать. Похукать CreateFile и сразу у тебя появляется возможность отслеживать (почти) все файловые операции.

У меня показывает каким юзером что открывалось и запускалось

сделай скрин.

Перед этим создай папку на раб столе Secret, в ней создай secret.txt, дальше поменяй название файла с secret.txt на что-то друге, потом удали этот файл, и удали папку.

по событиям отслеживать активность тоже не найс

Хотя наврал....только логон юзера ввсистему показывае и выход...Подзабылось.