O melhor que você pode provavelmente detectar é se o arquivo foi lido (não há como saber se foi lido para ler, ou ler para transferir para outra pasta, ou PC, etc.).
Primeiro, certifique-se de ativar a Auditoria de pastas do Windows , configurar as pastas e usuários (e / ou grupos) que você deseja auditar.
Em seguida, você precisará monitorar os Logs de eventos de segurança para a identificação de evento 4656 (objeto aberto) e acionar e alertar (ou igualmente) quando a seção Informações de solicitação de acesso / acessos contiver ReadData. Eu acredito que isso pode ser feito através do Agendador de Tarefas.