Нет, Event Viewer не будет показывать это. Event Viewer ведет журналы о программах, безопасности и системных событиях на вашем компьютере, а не о действиях пользователя. См. Https://technet.microsoft.com/en-us/library/cc938674.aspx для получения дополнительной информации.
Насколько я знаю, нет (родной) функции Windows, которая позволяла бы вам видеть, какие файлы были добавлены в заархивированную папку. Существует аудит безопасности Windows, но я не думаю, что он обеспечивает такой уровень детализации активности пользователей. См. Https://technet.microsoft.com/en-us/library/dn319078(v=ws.11).aspx :
Аудит безопасности - это мощный инструмент, помогающий поддерживать безопасность предприятия. Аудит может использоваться для различных целей, включая криминалистический анализ, соответствие нормативным требованиям, мониторинг активности пользователей и устранение неполадок. Отраслевые нормы в разных странах или регионах требуют от предприятий соблюдения строгого набора правил, связанных с безопасностью и конфиденциальностью данных. Аудит безопасности может помочь реализовать такие политики и доказать, что эти политики были реализованы. Кроме того, аудит безопасности может использоваться для криминалистического анализа, чтобы помочь администраторам выявлять аномальное поведение, выявлять и уменьшать пробелы в политиках безопасности и предотвращать безответственное поведение путем отслеживания критических действий пользователя.
Единственное предложение, которое у меня есть для вас: если у вас включено теневое копирование, попробуйте посмотреть на снимок папки, которая была заархивирована, чтобы увидеть, содержал ли он рассматриваемый файл, когда сотрудник создавал zip-файл.