Existe uma lista exaustiva do que o Windows registra ou pode registrar?

Locais de Log Centralizados

• %WINDIR%\System32\config ou %WINDIR%\System32\winevt\Logs
  Contém a maioria dos logs de eventos acessíveis no Visualizador de Eventos.

• %WINDIR%\Logs
  Contém muitos arquivos de log textuais.

Microsoft Security Essentials

• %PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
  Logs de tempo de execução

• %PROGRAMDATA%\Microsoft\Microsoft Security Client\Support
  Logs de instalação

Instalação temporária e registros do Windows Defender

• %WINDIR\Temp\*.log
  Contém informações sobre instalações MSI, bem como para iniciar / digitalizar o Windows Defender.

• %AppData%\Local\Temp\*.log
  Contém informações sobre instalações MSI executadas no contexto do usuário atual.

Logs de instalação do Windows

• %AppData%\Local\Microsoft\Websetup (Windows 8)
  Contém detalhes sobre a fase de configuração da Web do Windows 8.

• %AppData%\setupapi.log (Windows XP e anteriores)
  Contém informações sobre alterações no dispositivo e no driver e alterações importantes no sistema, como a instalação de service packs e hotfixes.

• %SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
  Contém informações sobre ações de configuração, erros, estrutura, SIDs e dispositivos de configuração iniciais. Quando a instalação for revertida, esses arquivos conterão informações de reversão.

• %WINDIR%\PANTHER\*.log,xml
  Contém informações sobre ações de configuração, erros, estrutura, SIDs e dispositivos de configuração posteriores.

• %WINDIR%\INF\setupapi.dev.log
  Contém informações sobre dispositivos Plug and Play e instalações de drivers.

• %WINDIR%\INF\setupapi.app.log
  Contém informações sobre as instalações de aplicativos.

• %WINDIR%\Performance\Winsat\winsat.log
  Contém resultados de testes de desempenho.

Serviço de tempo do Windows

• Para ativar o registro do Serviço de Tempo do Windows:

  w32tm /debug /enable /file:"C:\time-service.log" /entries:1000 /size:10485760
  

• Para desativar o registro da execução do Serviço de Tempo do Windows:

  w32tm /debug /disable
  

Atualização do Windows

• %WINDIR%\WindowsUpdate.log
  Contém todos os eventos relacionados ao Windows Update

• %WINDIR%\SoftwareDistribution\ReportingEvents.log
  Contém eventos relacionados a relatórios de status de atualização de software.

Ferramenta de Gerenciamento e Serviço de Imagem de Implantação (DISM)

• %WINDIR%\Logs\DISM\dism.log
  Contém informações sobre eventos que acontecem ao interagir com a imagem do Windows.

Serviço Baseado em Componentes (CBS)

• %WINDIR%\Logs\CBS\CBS.log
  Contém informações sobre eventos que ocorrem ao interagir com componentes e recursos do Windows.

Eu acho que você está pedindo o impossível. Existem várias seções de log no Registro de Eventos do Windows, acessadas por aplicativos e serviços do Windows e não Windows, e diferem de uma versão do Windows para outra. Além disso, existem várias outras opções de registro, incluindo arquivos de texto (por exemplo, .log) e no Banco de Dados Interno do Windows. .

A lista seria vasta e variada e dependeria do SO específico que você tem e de como está configurado.

Executar

wevtutil el

no prompt de comando.