prokaTSМожет быть есть решение для перехвата процесса копирования (програмн.)
Сканировать (вроде клавиатурного шпиона) и записывать в Log.log?
Проблемма в том, что и запретить копирование нельзя , но и знать когда файл подвергался копированию- ооочень бы хотелось! - аналогичные проблемы. Решили так:
1) главный критерий - внезапность.
2) второй критерий - административная ответственность
3) непрерывность наблюдения за использованием серверных ресурсов: поставили NetView, у нее есть плагин контроля использолвания сервера (подключения к шарам, кто-когда-куда с записью в лог)
4) непрерывность контроля за рабочими станциями: скрытно поставил программу, сбрасывающую скриншоты с рабочей станции на сервер каждые t минут и параллельно устанавливающую/запускающую radmin'a с нужными установками (ip-filter + пароль/NTLM). Когда наличие программы обнаружилось, вывесил приказ генерального: кто выгрузит/деинсталлирует - расстрел :) За то время, пока программа работала "инкогнито", удалось отсечь "чистый" персонал и сосредоточиться на остальной части.
5) потихоньку отключили флопы, опечатали (на новых машинах - отключили через БИОС) USB и корпуса.
6) постепенно переходим от файл-серверной к клиент-серверной организации работы.
А перехват копирования по сети - штука, насколько я знаю, пока не реализованная

AzartЕсли вы админ и у вас стоит оборудование по умнее чем хаб, то вы можете посмотреть сетевой трафик.
Если вы пользователь, то тут два варианта:
1. Заставить админа сделат выше сказанное.
2. Слушать весь сетевой трафик, но как бы вам админ за это в ухо не дал бы. К сожалению, все коммутационные устройства работают не сданными, а с пакетами. Как отличить поток пакетов при копировании от потока при работе с базой? А если данные не "в лоб" копируются, а, скажем, выводом из базы в файл? Так что тут глухо. Можно, конечно, отлавливать тех, у кого очень большой сетевой трафи, но это "на дурака" - ведь умный жулик будет таскать инфу "по чуть-чуть". Так что идеальное решение - задраить физические устройства, позволяющие вывести информацию (абсолютный вариант - терминальный сервер в комнате АСУ, относительный - пломбировка, отключение, демонтаж).
А чтобы пост был в тему - что мешает создать логгер подключений самому?
API - WNet-функции, перебор шар, сессий, имен пользователей, имен компьютеров. Это если не устраивают возможности NetView.

Andres 1
Для общего развития рекомендую поставить утилиту от sysinternals http://www.sysinternals.com/Utilities/Filemon.html - показывает доступ к файлам на локальном компьютере - т.е. то, что знает Windows. Только вот замучаешься анализировать такой лог, да ещё с нескольких машин.
:) Настоятельно не советую запускать ее на сервере - я так синий экран в разгар рабочего дня получил. Кроме того, она не даст сведений о том, КТО это делает из сети, а просто выдаст svchost как процесс, работающий с файлом.