prova a partire con l'audit sui file tramite le local security policy del server.

da strumenti di amministrazione vai su local security policy, sezione local policy, audit policy.

abilita tutto, leggendoti magari il relativo help per capire cosa stai facendo.

dopo di che sul file o sulla dir, nelle propietà avanzate, vai sulla scheda di audit, e specifichi in dettaglio cosa vuoi loggare.

ti ritroverai tutte le tracce nella sezione security del registro eventi.

tramite dei filtri potrai rederlo più leggibile.