Можно ли как-то отследить действия в режиме инкогнито?

Физический доступ к компу есть?

Да. А, к слову, если в телефоне?

Можно поставить самопальные сертификаты от mitmproxy и видеть даже шифрованный трафик пользователей. А инкогнито или нет, будет уже без разницы.

Если адрес сайта не захардкодили в браузер как HTTPS-only, то можно использовать arp-spoofing + sslstrip + tcpdump/wireshark. Поищите по форуму гуглем, тут такие темы каждый месяц появляются и обмусолены уже от и до.