Разумеется, трассировщик в состоянии оследить все запросы пользователей и их конкретное содержание. Но! Если пользователей много и если "вор" делает это редко и когда нет админа, размер трассы может быть очень большой и как потом отличить, кто ворует, а кто работает... Может быть повесить на "лакомую" табличку триггер, который бы отслеживал искомые действия клиента и регистрировал их в специально созданную для этого таблицу. В форуме уже встречались упоминания о том, что задачи аудита решаются многими самостоятельно и можно попросить авторов таких решений поделиться идеями.
Отходя немного от темы, хочу заметить, что без чёткой, комплексной концепции безопасности системы автоматизации Ваших бизнес - процессов, Вы проблему не решите, заткнёте эту дыру, "злодеи" найдут другую.