Notatniki najbardziej użyteczne będą notatniki z kalką, ponieważ możesz zapisać notatkę, wyrwać ją i dać komuś innemu, a samemu nadal dysponować jej kopią. Ponadto strony w takich notatnikach są zwykle numerowane, dzięki czemu będziesz mógł później stwierdzić, czy jakieś strony nie zostały usunięte lub wstawione.

Terminale z dołączonymi drukarkami lub staromodne terminale drukujące. Powłoka działająca pod kontrolą uniksowego polecenia script. Powstający zapis powinien być natychmiast drukowany i oznaczany.

Program terminalowy w komputerze osobistym, działający w trybie przechwytywania. Powstający zapis powinien być natychmiast drukowany i oznaczany. Magnetofon kasetowy do rejestrowania notatek głosowych.

Prawdopodobnie będziesz korzystał z kilku metod jednocześnie za pomocą jednej będziesz rejestrował to, co dzieje się w sieci, a za pomocą drugiej to, co dzieje się na zewnątrz komputera. Możesz na przykład prowadzić komputerowy zapis wprowadzanych poleceń oraz ręcznie pisany protokół rozmów telefonicznych.

Łatwo zdecydować, jakie zdarzenia zapisywać w komputerze rejestrujesz po prostu wszystko to, co piszesz na klawiaturze. Pamiętaj, aby użyć terminala albo sesji, w których wszystkie zdarzenia są rejestrowane (niektóre metody, na przykład script, umożliwiają rejestrowanie każdej aktywnej sesji upewnij się tylko, że każda sesja jest zapisywana w oddzielnym pliku). Trudniej zdecydować, które zdarzenia nie przechwytywane automatycznie są warte zarejestrowania. Z pewnością powinieneś zapisywać przynajmniej:

do kogo zadzwoniłeś, kiedy i dlaczego streszczenie przekazanych mu informacji streszczenie otrzymanych od niego informacji (czasem będzie to tylko zdanie „patrz wyżej”, ale i tak będziesz tego potrzebował, aby zorientować się, z kim rozmawiałeś, kiedy i dlaczego)

zebrania oraz ważne decyzje i działania, które nie są rejestrowane automatycznie (na przykład czas odłączenia sieci od Internetu). Oprócz protokołu może się przydać rejestr czasu spędzonego przez każdego, kto zajmował się incydentem. Będziesz musiał wykazać pewien poziom „strat”, aby zostało wszczęte dochodzenie, a jeśli napastnik nie wyrządził żadnych szkód komputerom, wówczas główną stratą jest czas spędzony na sprzątaniu bałaganu.

Rejestr czasu może przydać się również wtedy, gdy masz kłopoty z przekonaniem kierownictwa, że należy przydzielić dodatkowe zasoby na usuwanie skutków przyszłych incydentów. Możesz w ten sposób wykazać, ile kosztują incydenty. Rejestr jest użyteczny zwłaszcza wtedy, gdy potrafisz wykazać, które skutki można było przewidzieć i złagodzić dzięki planowaniu.