↑
Следить нужно за всем подряд без разбора? Мы делали немного другим образом.
Юзер при обычных настройках не может ничего изменить без нажатия клавиш клавиатуры или мыши.
Поэтому логируем только эти действия, делаем скриншоты и кейлогером собираем ввод.
Логика индивидуальна, цель сбора не знаю, если нужно файловое изменение, то это del, enter, клик мыши, esc.
Если администрируете компьютер, то проще ограничить, чем следить, та же дисковая квота.
Пример работы:
Клик мыши, контекстное меню, создать папку (скриншоты или видеоролик)
Клик, создание файла, кейлогер название
Правый клик мыши, контекстное меню (скриншоты), переименовать
Удалить (кнопка del, тут увидим пустое место, но где оно, тоже будет видно по скрину)
Минусы данного подхода - это размер логов.