Как можно определить кто и когда сменил IP адрес?
 

Есть W2K Server на нем включен аудит всех событий.
Как можно определить кто и когда сменил IP адрес?
В логах ничего такого не нашел, то есть кто и когда сменил адрес.

И не будет этого в логах сервера.
Разве что в том случае, если IP раздаются самим сервером (DHCP).
Если человек на своей машине админ и меняет IP руками - в логах сервера это никак не отображается.
Технически, можно написать скрипт со связкой из ping и arp, запускаемый на сервере и пишущий в текстовый лог информацию о соответствии IP<->MAC или воспользоваться сканером сети. Однако такой скрипт/сканер будет весьма сильно нагружать сеть в процессе своей работы, а разбор логов представляет собой весьма нетривиальную задачу...
Кроме того, необходимо учитывать, что админ может поменять не только IP, но ещё и MAC и имя компа. И что ты в этом случае извлечёшь из логов?

Логи хорошего управляемого свитча (например Cisco 6000) могут помочь в большей степени, поскольку отслеживают смену и IP, и MAC на каждом порту (а также дают возможность запретить подключение к конкретному порту любого MAC кроме заданного). Но и стоют такие девайсы недёшево...

На Линуксе есть программка arpwatch которая тихо-мирно отслеживает все изменения в парах MAC-IP и сообщает мылом (по умолчанию - руту) обо всех событиях. Типы - Новый комп, flip-flop, железка поменяла IP и т.д.