時間の経過と共に失われたり、電源断により消えてしまう情報を揮発性情報*1と呼んでいます。インシデント発生時にどのような揮発性情報を取得しておくとよいか？という点ですが、個人的にはログに残ってない情報を優先して取得すべきだと考えています。
逆にいえば、時間の経過や電源断により消えて（調査上）困るのであれば、ログに残るように設定しておくべきですよね。*2
例えば、よく例示されるコマンドとして netstat -an があります。その時点での TCP/IP の接続情報を確認することで、不正アクセス者の IP アドレスやバックドアポートを確認できるかもしれないということでこのコマンドを実行しておきましょう〜ということですが、通信履歴*3を取っていれば別にインシデント発生時に netstat しなくていいんぢゃない？とか思うわけです。
どのプロセスがポートを利用しているか？を確認するのはバックドアとか見つけるのに重要ですが、WindowsであればPortReporter を稼働させておけばいいでしょうし、プロセス実行の監査は当然有効なはずなので、どんなプロセスが起動されていたかはセキュリティ ログみればいいわけですやね。
だいたい、揮発性情報を取得するコマンドを叩いている間にも消えていってしまうわけですから、“必要なもの”はログに残す方向で（笑）