O que a pessoa acessou eu ja acho que não precisa, pois ai ja seria invasão de privacidade, a não ser que você não disponibilize um ip valido pra cada cliente, senão vai ter N clientes no mesmo IP externo.
Tendo cada cliente um ip valido proprio, você apenas registra o IP que ele usou e quando usou, o que ele acessou a propria policia ou orgão é quem tem que ver isso...
Bom, não sou perito, mas acho que seria mais ou menos por ai.