Дамп выполняется посредством обычных SQL запросов. Запроса «дамп» не существует.

Пока пишут про признаки дампа в show processlist, не очень убедительно.

Опиши всю задачу. В 90% случаяев когда просят что-то странное оказывается что гланды удаляют длинным путём.

С какой целью узнать? Спалить злоумышленника, сливающего данные, или найти хрен-знает-как-работающий скрипт?

Только средствами самого мускуля

Почему такое жёсткое ограничение?
Что изначально сделать хочешь?

спалюсь сам

:) честно признаюсь, я злоумышленник, хочу узнать когда дампят базу. Не бейте.

В постгресе легко сделать rule на select какой-нибудь «левой» таблицы, а вот мускуль как-то «защищеннее»

Off-topic.

Средствами мускуля не скажу, но если известно, с помощью какой утилиты делается дамп, то можно так:

inotifywatch `which mysqldump` и смотреть, когда его трогали.

Только надо учитывать, что файлы трогают также всякие бекап-тулзы, updatedb(locate) и т. п.

Ну и очевидный вариант - подменить mysqldump на shell-скрипт, пишуший в лог своё время и вызывающий настоящий mysqldump.

подменить mysqldump

дампер подключается извне

Эммм.. ну тогда ещё одно извращённое внешнее решение:

tcpdump -i any 'tcp dst port XXX and ( tcp[tcpflags] & (tcp-syn) != 0 )'

Получим время и IP для всех входящих соединений. Вдруг найдётся что-то явно нездоровое. Если база активно юзается по сети - не прокатит

Если команда создания дампа известна, то есть это не просто куча select * ..., и протокол нешифрованный, можно собрать весь траффик и поискать в нём соотв. шаблон:

tcpdump -A -i any 'tcp dst port XXX' | grep 'dump'