Trisul misst die Bandbreitennutzung, beobachtet den Traffic-Fluss und speichert die Pakete für spätere genaue Analyse. Alle Traffic-Daten werden in einer SQLITE-3-Datenbank gespeichert. Es kommuniziert mit der Außenwelt über das Trisul Remote Protocol (TRP) und über eine Ruby-on-Rails-Anwendung namens Web Trisul. Was Trisul von anderen Überwachungstools absetzt, ist die Analysefähigkeit für vergangene Ereignisse (z.B. Finden der Hosts, die um 5 Uhr die meisten ICMP-Pakete verschickt haben). Trisul kombiniert mit WebTrisul kann als webbasierte Plattform zur Überwachung der Netzwerksicherheit genutzt werden. Web Trisul bietet Live-SVG-Diagramme, die es ermöglichen, ein Zeitintervall auszuwählen und eine genaue Analyse mit den rohen Trafficdaten als Quelle aufzurufen. Man kann auch Tools schreiben, die mit Trisul direkt über eine sichere TLS-Verbindung mit dem Trisul Remote Protocol kommunizieren. (non)