Tripwire a 4 modes de fonctionnement. Chacun de ces modes correspond à une fonction particulière.
Dans ces 4 modes de fonctionnement Tripwire travaille en 5 phases d'exécution
- Initialization Mode : à utiliser au premier appel pour initialiser la database.
- Checking Mode : mode de surveillance qui ne modifie pas la database. Donne simplement entre 2 passages les fichiers supprimés-ajoutés-modifiés.
- Updating Mode : met à jour la database sélectivement sans la régénérer.
- Interactive Mode : demande à l'administrateur de valider les différences et régénère une nouvelle database de référence.
- lecture du fichier de configuration qui contient les entrées à traiter pour en faire une analyse syntaxique;
- génération d'une liste des entrées à traiter;
- génération d'une database temporaire pour les entrées de la phase précédente;
- recherche des différences entre cette database et la database de référence créée à l'exécution précédente de Tripwire;
- génération d'un rapport d'anomalies pour toutes les différences trouvées entre les 2 databases.