Primeiro, você precisa ativar a auditoria no servidor em questão ...
Iniciar- > Painéis de controle- > Ferramentas administrativas- > Política de segurança local
Em seguida, navegue para Políticas Locais e > Política de Auditoria.
Nela, abra "Audit Object Access" e selecione "Success".
Agora, navegue até a pasta raiz do compartilhamento, clique com o botão direito e escolha Propriedades. Clique na guia de segurança e clique em "Avançado".
Mude para o separador "Auditoria". Clique em "Adicionar" e insira o nome de usuário ou o nome do grupo cujo acesso de arquivo você suspeita ... "Todos" obviamente pegará todos. Marque a caixa de seleção "Sucesso" para a opção "Excluir subpastas e arquivos" e "Excluir".
Em seguida, assista ao seu registro de segurança. Sempre que alguém apagar um arquivo ou pasta com sucesso, ele será registrado lá.
HTH.
Glenn