Лог доступа к файлам и каталогам Windows
Проверяем политику Audit Object Access … Должна быть активной (Параметры безопасности > Локальные политики > Политики Аудита).

Затем, убедившись в том, что аудит Успех|Отказ включен, отправляемся в интересующую нас директорию и через пункт меню Свойства > Безопасность > Дополнительно > Аудит назначаем интересующих нас пользователей, а в следующем диалоговом окне назначаем интересующие нас действия, подлежащие аудиту и объекты, к которым они применяются.

Запускаем эвентвьювер