Nein, die Ereignisanzeige zeigt dies nicht an. In der Ereignisanzeige werden Protokolle über Programm-, Sicherheits- und Systemereignisse auf Ihrem Computer verwaltet, nicht über Benutzeraktionen. Weitere Informationen finden Sie unter https://technet.microsoft.com/de-de/library/cc938674.aspx .
Soweit ich weiß, gibt es keine (native) Windows-Funktion, mit der Sie sehen können, welche Dateien einem gezippten Ordner hinzugefügt wurden. Es gibt Windows-Sicherheitsüberwachung, aber ich glaube nicht, dass diese Granularität für Benutzeraktivitäten gegeben ist. Siehe https://technet.microsoft.com/de-de/library/dn319078(v=ws.11).aspx :
Die Sicherheitsüberwachung ist ein leistungsfähiges Werkzeug, um die Sicherheit eines Unternehmens zu gewährleisten. Die Überwachung kann für eine Vielzahl von Zwecken verwendet werden, einschließlich forensischer Analyse, Einhaltung gesetzlicher Vorschriften, Überwachung der Benutzeraktivität und Fehlerbehebung. Branchenvorschriften in verschiedenen Ländern oder Regionen verlangen von Unternehmen die Einführung strenger Vorschriften in Bezug auf Datensicherheit und Datenschutz. Sicherheitsüberprüfungen können dabei helfen, solche Richtlinien zu implementieren und zu beweisen, dass diese Richtlinien implementiert wurden. Die Sicherheitsüberprüfung kann auch für forensische Analysen verwendet werden, um Administratoren bei der Erkennung von anomalem Verhalten zu helfen, Lücken in Sicherheitsrichtlinien zu erkennen und zu verringern und verantwortliches Verhalten durch Verfolgung kritischer Benutzeraktivitäten zu verhindern.
Der einzige Vorschlag, den ich für Sie habe, ist: Wenn Sie Schattenkopie aktiviert haben, können Sie den Schnappschuss des gezippten Ordners überprüfen, um zu sehen, ob er die fragliche Datei enthielt, als der Mitarbeiter die ZIP-Datei erstellt hat.