Puede enmascarar las contraseñas antes de que terminen en access.log combinando una directiva CustomLog con un poco de magia sed (como se indica en https://stackoverflow.com/a/9473943/102170):
Esto reemplazaría cada ocurrencia de password=secret con password=[FILTERED] en /su/ruta/acceso.log :
CustomLog "|/bin/sed -u -E s/'param=[^& \t\n]*'/'param=\[FILTERED\]'/g >> /your/path/access.log" combined
Dicho esto, sería mejor evitar poner datos confidenciales en las cadenas de consulta si es posible.
Apache 2 registra de manera predeterminada el URI completo de la solicitud, incluida la cadena de consulta de cada solicitud.
¿Cuál es una forma sencilla de evitar que un servidor web Apache 2 registre datos confidenciales, por ejemplo, contraseñas, números de tarjetas de crédito, etc., pero aún registre el resto de la solicitud?
¿Estoy leyendo bien, que está enviando información confidencial en URI como QueryString? Sugeriría cambiar la aplicación para que lo haga en primer lugar.
Entonces, no habría ningún requisito para cambiar apache, ya que no hace tal cosa por defecto.
Lea sobre la diferencia entre GET y POST y reescriba sus aplicaciones para dejar de poner contraseñas e información en los parámetros GET.