В домашней папке пользователя еще больше интересного лежит, например в конфигах могут быть пароли. По виндовс, дату установки программ. По дате файлов не получится, по дате ярлыков и в реестре, узнаем. Сетевая активность, только то что в журнале и кеше браузера, остальное не сохраняется. Файлы дампов и файлы "сна" - может что то быть. Пользователей для большинства домашних систем можно не смотреть, там один будет. На серверах тоже редко настраивают нормальные права, даже сам, зная как настраивать не везде могу настроить, иначе программы не работают.
Немного поздновато, но всё-же... В принципе, если в GPO не настроены толком логи, то много чего важного не увидите, но всё-же. Есть возможность поднять эластиксёрч и туда загнать логи от винды. Есть свои плюсы и минусы, по сравнению с тем же журналом событий. В эластиксёрче видны события по времени и легко искать, к тому же можно с помощью фильтров сразу несколько событий по ID фильтровать. Но жрёт просто проц и наскоком в нём не разобраться. Да и тут вот чисто технически.
Я может не понял правильно. Мои ответы такие 1 это :«запись действий» -утилита дефолд 2 - фото что креплю должно подсказать тебе все
