Windows 是否记录压缩文件夹或 Zip 文件的创建？

不会，事件查看器不会显示此信息。事件查看器维护计算机上的程序、安全和系统事件日志，而不是用户操作日志。请参阅https://technet.microsoft.com/en-us/library/cc938674.aspx了解更多信息。

据我所知，没有 (原生) Windows 功能可以让你查看哪些文件被添加到了压缩文件夹中。Windows 有安全审核，但我认为它无法提供这种级别的用户活动粒度。请参阅https://technet.microsoft.com/en-us/library/dn319078(v=ws.11).aspx：

安全审计是帮助维护企业安全的强大工具。审计可用于多种目的，包括取证分析、法规遵从性、监视用户活动和故障排除。各个国家或地区的行业法规都要求企业实施一套严格的与数据安全和隐私相关的规则。安全审计可以帮助实施此类政策并证明这些政策已经得到实施。此外，安全审计还可用于取证分析，帮助管理员检测异常行为，识别和缓解安全策略中的漏洞，并通过跟踪关键用户活动来阻止不负责任的行为。

我对你唯一的建议是，如果你启用了卷影复制，你可以尝试查看压缩文件夹的快照，以查看员工创建 zip 文件时它是否包含相关文件。

正如 wysiwyg 的回答所说，没有事件日志包含有关创建的 ZIP 文件的信息，除非对该目录进行了审核，在这种情况下，理论上你可以查看在创建 ZIP 之前读取了哪些文件。我通过使用以下方法创建 ZIP 文件来测试这一点：发送到 | 压缩文件夹并查阅了主要事件日志，但其中没有关于该事件的任何信息。下面还有许多其他较小的日志应用程序和服务日志，但它们也没什么用。为了证明这一点，我们可以使用 PowerShell！

Get-WinEvent -ListLog * | ? { $_.RecordCount -gt 0 } | % { Get-WinEvent -LogName $_.LogName -MaxEvents 100 } | ? { $_.ToXml().Contains('.zip') }

如果以管理员身份运行，它将查看每个非空事件日志，获取最近 100 个事件，并返回任何包含文件提及的事件.zip。这对我来说没有产生任何结果。

我也找不到磁盘上在事件发生期间更新的任何日志文件。我通过观察文件系统活动来explorer.exe检查进程监控。它生成了大量事件，太多了，无法手动查看，所以我将日志导出为 CSV。为了获取访问的唯一路径列表（因为绝大多数事件只与少数路径有关），我们可以再次使用 PowerShell：

Import-Csv C:\path\to\report.csv | group Path | select -ExpandProperty Name

查看列表没有发现任何有趣的东西，只有参与压缩的文件或只是被后台进程触碰的文件。

如果 ZIP 文件仍然存在于磁盘上，我们或多或少可以证明它是在声称的时间创建的（因为创作时间可以伪造）。该信息保存在 Windows 搜索索引中，我们可以使用 - 你猜对了 - PowerShell 进行查询！

$sql = "select System.ItemName, System.DateCreated from SYSTEMINDEX where System.ItemName like '%.zip'"
$connector = [System.Data.OleDb.OleDbDataAdapter]::new($sql, "provider=search.collatordso;extended properties='application=windows';")
$data = [System.Data.DataSet]::new()
$connector.Fill($data)
$data.Tables[0]

（基于本文由 Russell Smith 编写。）它会为索引中的每个 ZIP 生成路径和创建时间（以 UTC 为单位，而不是系统时区）。遗憾的是，这并不能说明 ZIP 档案中包含什么，但这是我们能做的最好的事情了。