[hasherfrog]

Пара мыслей "навскидку"
1. Под 98 легко спрятать кеёлоггер, замаскированный под службу. У такого типа пользователей логи явно будут маленькими, так что просматривать легко. Авось что найдёшь. Но надо быть очень осторожным с этим, поскольку объяснить наличие кейлоггера (как начальству, так и "клиенту", причём даже в случае удачи) будет очень тяжело.
2. Аудит - вот главнуй козырь. Включить всё. Логи на серваке подделать будет невозможно. В то же время официально - ничего особенного, ну включились, ну и кому какое дело. А вот то, что их нельзя будет подделать, придаёт логам несколько "официальный статус". Для разборки логов надо подыскать соответствующую прогу (где-то тут на форуме было, главное - наличие функции поиска).